Best Practice - T-Systems: Wie Unternehmen zuverläs‌sig ihre ICT

Transcription

Best Practice 04 | 2011
Best Practice
Ausgabe 04|2011
Das Kundenmagazin von T-Systems
Ob Hacker oder Innentäter – wie Unternehmen zuverlässig ihre
ICT-Infrastruktur, Daten und Anwendungen schützen.
Foto © Nadja Klier
Jessica
Schwanruznd
Werden Sie zum Helden
für Kinder in Not.
Schauspieleri
der
Botschafterin
n
Kinderzuku ft
Spenden Sie jetzt und helfen Sie mit.
Überall auf der Welt gibt es Kinder, die unsere Hilfe benötigen, weil
Krisen, Kriege und Katastrophen ihnen alles genommen haben. Mit
Ihrer Spende helfen Sie uns, diese Kinder zu unterstützen und ihnen
eine selbstständige und menschenwürdige Zukunft zu ermöglichen.
Stiftung Kinderzukunft
Rabenaustraße 1a, D-63584 Gründau
Tel. +49 (0) 60 51/48 18-0
www.kinderzukunft.de
Wir garantieren: 100% Ihrer Spenden erreichen die Kinder, weil
sämtliche Werbe- und Verwaltungskosten durch Erträge des Stiftungsvermögens und zweckgebundene Zuwendungen gedeckt werden.
Spendenkonto 208 855 606
Postbank Frankfurt
BLZ 500 100 60
editorial
3
Reinhard Clemens, 51,
ist seit Dezember 2007
Vorstand T-Systems
Deutsche Telekom AG und
CEO von T-Systems.
Foto: T-Systems
Die Bedrohungslage durch Cyberkriminalität bekommt eine ganz neue
Qualität. Spätestens jetzt ist die
Zeit gekommen, in Sachen ICT-Sicherheit
internationale Standards festzulegen.
SICHERHEIT „DESIGNED IN EUROPE“
Sie heißen „Stuxnet“, „ZeuS“ oder „W32.Duqu“. Sie nisten sich in fremde
Computer ein, stehlen Daten und könnten ganze Produktionsanlagen zum Erliegen bringen. So manchem mag das immer noch eher nach Agententhriller
à la James Bond klingen. Doch wer sich näher mit IT-Sicherheit beschäftigt,
weiß, die Raubzüge im Internet und Angriffe aus dem Cyberspace haben das
Potenzial zu einer globalen Bedrohung. Cyberkrieg, so Bundeskanzlerin
Angela Merkel, sei inzwischen „nicht weniger gefährlich als klassische militärische Angriffe“.
Befeuert von einer Vielzahl spektakulärer Ereignisse bei namhaften internationalen Konzernen wie zum Beispiel Sony, rücken die Themen Datenschutz
und Informationssicherheit ins Zentrum der öffentlichen Wahrnehmung. Und
die Bedrohungslage wird zukünftig noch einmal eine ganz neue Qualität gewinnen. Während sich die Risiken bislang auf Finanzbetrug oder den Diebstahl von Informationen konzentrierten, gerät zunehmend die Wertschöpfung
ins Visier der Angreifer. Wir sehen uns mit einer neuen Generation von Schadprogrammen konfrontiert, die nur zur Wirtschaftssabotage und -spionage entwickelt wurden.
Das von der Bundesregierung angestoßene übergreifende Bündnis zum
Schutz kritischer Informations-Infrastrukturen sowie das Aufstocken von ITExperten in den Behörden und Organisationen mit Sicherheitsaufgaben in
Europa setzen das richtige Signal: Informations- und Kommunikationstechnik ist für die Volkswirtschaft ebenso wichtig und schützenswert wie Strom,
Wasser und Gas. Im Zentrum dieser Initiative stehen daher drei strategische
Ziele. Erstens: durch geeignete und abgestimmte Präventionsmaßnahmen
bestehende Restrisiken verringern. Zweitens: Regeln, Prozesse und Zuständigkeiten definieren, die Unternehmen und Staat in die Lage versetzen, bei
ICT-Sicherheitsvorfällen zeitnah und wirkungsvoll zu handeln. Drittens: einen
übergreifenden Plan entwickeln, der unsere europäische ICT-Sicherheitskompetenz stärkt und internationale Standards setzt.
Dabei zeigen schon heute immer mehr Unternehmen auch außerhalb der EU
Interesse an einem hohen Datenschutzniveau, wie es in Deutschland etwa
durch den Gesetzgeber eingefordert wird. Zum Beispiel beim Cloud Computing. Unter anderem ist in der Bundesrepublik die Speicherung von unverschlüsselten personenbezogenen Daten in virtuell strukturierten Ressourcen – bei denen der Speicherort nicht nachvollziehbar ist – verboten, wenn
der Betroffene nicht ausdrücklich seine Zustimmung gibt. Denn nur so behalten Unternehmen jederzeit die Hoheit über personenbezogene Daten. Der
Kunde muss selbst bestimmen, wo seine Daten liegen und wer welchen
Zugriff darauf erhält. Dabei helfen modernste ICT-Security-Technologien, ungewollte Zugriffe zu verhindern.
Wenn wir uns an die Spitze der Entwicklung stellen und Sicherheit als Designfaktor in alle Anwendungen integrieren, hat „Security designed in Europe“
die Chance, weltweit zum Qualitätssiegel für eine sichere ICT-Infrastruktur
zu werden.
Herzlichst Ihr
Reinhard Clemens
Best Practice 04 l 2011
4
inhalt
AUSGABE 04|2011
ausgewählt
06 News-Ticker
International. Der weltweit führende französische Hersteller von
Frankiersystemen Neopost nutzt globales Hochgeschwindigkeitsnetz ....
Südafrikas Glasspezialist Consol entscheidet sich für Outsourcing
seiner SAP-Landschaft .... Spanischer Medienkonzern PRISA baut
Digitaldienste in 22 Ländern aus ....
IMPRESSUM
Best Practice
Das Kundenmagazin von T-Systems
Herausgeber
Thomas Spreitzer, T-Systems-Marketing
Gesamtverantwortung
Gina Duscher
Projektmanagement
Tatjana Geierhaas
Chefredaktion
Thomas van Zütphen (V. i. S. d. P.)
Organisation
Anke Echterling
Art Direction
Jessica Winter
Bildredaktion
Susanne Narjes
Chefin vom Dienst
Anja Sibylla Weddig
Schlussredaktion
Sebastian Schulin
Autoren dieser Ausgabe: Dr. Sandro Gaycken,
Steffan Heuer, Roger Homrich, Dr. Christiane
Meis, Matt Sloan, Prof. Dr. Norbert Pohlmann, Tobias
Schrödel, Thomas van Zütphen
Verlag
HOFFMANN UND CAMPE VERLAG GmbH,
ein Unternehmen der GANSKE VERLAGSGRUPPE
Harvestehuder Weg 42, 20149 Hamburg
Tel. (040) 441 88-457, Fax (040) 441 88-236
E-Mail: [email protected]
Geschäftsführung
Dr. Kai Laakmann
Objektleitung HOFFMANN UND CAMPE
Christian Breid
Herstellung
Claude Hellweg (Ltg.), Oliver Lupp
Litho
Einsatz Creative Production, Hamburg
Druck
NEEF + STUMME premium printing
GmbH & Co. KG, Wittingen
Copyright © 2011 by T-Systems
Nachdrucke nur mit Quellenangabe und
Belegexemplar. Der Inhalt gibt nicht in jedem Fall
die Meinung des Herausgebers wieder.
Fragen zu Inhalt, Versand oder Bestellungen
[email protected]
ISSN 1860-689X
rint
Best Practice 04|2011
kompensiert
Id-Nr. 1115045
www.bvdm-online.de
bewegen
08 Balance-Akt für CIOs
ICT Security. CIOs sollen die Produktivität ihrer Mitarbeiter erhöhen und
ihnen mobiles Arbeiten und Collaboration-Formen in jeglicher Hinsicht
ermöglichen. Zugleich sollen ihre ICT-Infrastrukturen trotz immer größerer
Angriffsflächen nicht zu Einfalltoren für Viren, Würmer & Co. werden.
Der Spagat als Traumjob kann Hilfestellung vertragen – und die kommt
zukünftig aus dem Netz. Als Security as a Service zum Beispiel, der
Administrationsvorgänge und Authentisierung sicherer macht und
deutlich vereinfacht.
18 ICT Security ganzheitlich betrachtet
Grafik. Trotz zunehmender Cyberkriminalität dürfen Unternehmen ihre
IT-Infrastruktuen nicht abschotten. Doch wer steuert die Zugriffe und
schleust die Daten sicher zu ihren berechtigten Empfängern? Ein Security
Information and Event Management (SIEM) zum Beispiel, Risk & Compliance Tools oder ein System zur Einhaltung des „Need to know“.
VIDEO Schon gesehen?
www.t-systems.de/videos
BEST PRACTICE ONLINE Schon gelesen?
www.t-systems.de/bestpractice
TWITTER Schon verfolgt?
www.twitter.com/tsystemsde
5
Die ersten zwei Galileo-Satelliten
starteten im Oktober ins All.
Spätestens 2020 sollen für
das europäische Navigationssystem
30 Satelliten in 23 000 Kilometern
Entfernung die Erde umkreisen.
erfahren
20 Compliance ohne Grenzen
32 Selbstverteidigung
40 Galileo
Allianz. Der Finanzdienstleister und einer der
Gastbeitrag. Wenn Cyberwaffen immer cleverer
größten Versicherungskonzerne der Welt schützt
sein IP-Daten- und Telefonnetz in Osteuropa mit
neuester Security-Technologie und harmonisiert
die Compliance-Anforderungen in neun
verschiedenen Ländern.
werden, müssen smarte Daten sich auch selbst
schützen, sagt Prof. Dr. Norbert Pohlmann.
Objekte werden künftig definieren, wer sie in
welcher IT-Umgebung nutzen darf.
Wegweisend. Ob im Rollstuhl, Mähdrescher
oder Frachtschiff – das europäische SatellitenNavigationssystem schafft eine neue
Mobilität und bewegt die Wirtschaft eines
ganzen Kontinents.
34 Datendiebe im Fokus
44 Zahlen, Daten, Fakten
Kontrovers. Wo lauert das größte Risiko?
Trendmonitor. Wo sind die größten Schwach-
Dr. Christiane Meis vom Sicherheitsforum
Baden-Württemberg und Dr. Sandro Gaycken
von der FU Berlin auf einer Spurensuche.
stellen in der ICT-Security-Kette, und wie wollen
sich Unternehmen künftig schützen? – Indikatoren eines Markts, dessen Entwicklung nur
eine Richtung kennt: Sie steigt.
24 Vordenker
Michael Fertik. Managerkontakte auf LinkedIn, Xing
oder Facebook, so der CEO von Reputation.com,
können Konkurrenzunternehmen schon viel
verraten. Darum rät der Harvard-Absolvent dringend, die Security-Awareness von Führungsmitarbeitern auf deren Social-Media-Kommunikation
auszuweiten – und auf die ihrer Angehörigen.
26 Flankenschutz im Cyberwar
CERT. Das Computer Emergency Response
Team von T-Systems verteidigt die IT-Systeme
seiner Kunden weltweit vor Angriffen aus
dem Netz. Was die Mitarbeiter dabei erleben,
ist eine Art Kriegsberichterstattung aus
dem alltäglichen Cyberwar.
36 CIO Talk bei Fraport
Dr. Roland Krieg. Der CIO des Frankfurter
46 Kolumne
Flughafens über den Sicherheitsbeitrag einer
Airport-IT, Collaboration-Lösungen der
großen Hubs und die Grenzen internationaler
Clouds beim Daten-(Flug-)Verkehr.
Seuche im Büro. Drucker und Kopierer sind nicht
nur wahre Informationssammler, sie hinterlassen auch auf jedem Blatt Papier noch eine Art
Signatur. Fachbuchautor Tobias Schrödel
über die latent schlimmste Büroseuche der
Welt: Fleckfieber.
Fotos: Natalie Bothur, Mike Schroeder/argus, ESA/P. Carril, iStockphoto.com
Schaut nach vorn:
Fraport-CIO Dr. Roland Krieg
treibt die Entwicklung von
Collaboration Tools für die
Zusammenarbeit internationaler
Großflughäfen voran.
Best Practice 04|2011
6
ausgewählt
NEWS
Fotos: Mauritius Images/Alamy, Ryan McVay/Getty Images, iStockphoto.com
Weil immer mehr Menschen
aktuelle Informationen nicht nur
via Tageszeitung, Radio und
TV beziehen wollen, baut der
spanische Medienkonzern
PRISA sein Angebot an digitalen
Diensten aus.
ONLINE-EXPANSION
Ob im Fernseh-, Radio- oder Verlagsgeschäft – die
Bereitstellung von Informations-, Bildungs- und
Unterhaltungsangeboten via Internet wird für
Medienunternehmen immer wichtiger. Darum will
auch Spaniens führender Medienkonzern PRISA
(„El País“) seine Digitaldienste weiter ausbauen
und beauftragte damit den ICT-Dienstleister
T-Systems. Die IT-Infrastrukturen für die digitalen
Services sollen künftig von der Telekom-Tochter
verwaltet und administriert werden.
Ziel des Projekts: Auf einer öffentlich zugänglichen Onlineplattform für alle Geschäftsbereiche
des Konzerns, der in 22 Ländern TV- und
Radiosender betreibt sowie Zeitungen und Magazine verlegt, sollen die PRISA-Angebote verfügbar sein. Weltweit beschäftigt PRISA knapp
10 000 Mitarbeiter.
Mit der Online-Offensive sollen zusätzliche Märkte in
Europa sowie Nord-, Mittel- und Südamerika erschlossen werden. „Steigende Flexibilitätswünsche
und das schnelle Wachstum unserer Gruppe verlangen die Automatisierung der Prozesse“, erläutert
PRISA-Managing Director Luis Manuel García. „Für
diese Expansion brauchen wir Qualität, Effizienz,
Innovation und haben uns aufgrund seiner ausgewiesenen Expertise für den deutschen Dienstleister
entschieden.“ Ausschlaggebend waren die maßgeschneiderten Serviceleistungen. Dazu zählen:
mehrsprachige Dienste, technischer Rund-um-dieUhr-Support, Telefon-Hotlines für Nutzer und
interne Kunden. T-Systems managt darüber hinaus
bereits IT-Dienstleistungen am Hauptsitz des PRISAKonzerns in Madrid sowie bei PRISA Digital Services.
Kontakt: [email protected]
7
Hochgeschwindigkeitsnetz
für weltweiten Datenzugriff
Der Hersteller von
Frankier- und
Kuvertiermaschinen
Neopost nutzt ein
globales Hochgeschwindigkeitsnetz,
um seine 30 internationalen Standorte
per MLPS-Technologie miteinander
zu verbinden.
Dass Briefe für Unternehmen, Behörden und Privatleute auch in Zeiten des
Internets unverzichtbar sind, zeigt der Umsatz der französischen Neopost
S.A. Die aus dem Alcatel-Konzern entstandene Aktiengesellschaft in Paris
ist ein weltweit führender Hersteller von Frankier- und Kuvertiermaschinen
und baut ihr internationales Geschäft gerade aus. Jetzt beauftragte das
Unternehmen T-Systems mit dem Betrieb seines Hochgeschwindigkeitsnetzes, um die aktuell 30 Neopost-Standorte weltweit miteinander zu
verbinden. Neopost ging es vor allem darum, seine bislang heterogenen
Netze zu vereinheitlichen und sowohl Infrastruktur als auch Dienstleistungen nicht länger von verschiedenen Partnern, sondern aus einer Hand
zu beziehen. Weltweit bekommen die mehr als 5000 Mitarbeiter damit
direkten Zugriff auf ihre Anwendungen, können Daten zu Entwicklung, Produktion und Vertrieb deutlich schneller abfragen und kommunizieren.
Betrieben wird das globale Firmennetz per MPLS-Technologie (Multi-Protocol Label Switching) unter anderem so, dass vorgegebene Datentypen priorisiert und bevorzugt an den Bestimmungsort weitergeleitet werden. Dabei
sorgt die Telekom-Tochter in einer sicheren Umgebung dafür, dass das
vereinbarte Datenvolumen problemlos über das IP-basierte Sprach- und
Datennetz transportiert wird und schützt das neue Unternehmensnetzwerk
entsprechend der Security-Policy von Neopost vor unbefugten Zugriffen.
Kontakt: Frederic Ong: [email protected]
GLASKLARE SICHT – DANK DER CLOUD
Jährlich ungefähr eine Million Tonnen Glas verarbeitet Südafrikas Marktführer Consol Glas zu Gefäßen und
Verpackungen für Kosmetika, Arznei- und Lebensmittel. Besondere Umsicht war gefragt, als der Glashersteller nach einer Outsourcing-Lösung für seine Geschäftsdaten auf Basis einer hochstabilen, standardisierten Plattform suchte. „Die von uns eingesetzte SAP-Software wie NetWeaver oder BusinessObjects
Explorer verlangt extrem stabile Systeme und muss auch im laufenden Betrieb ständig feinabgestimmt
und optimiert werden können“, so Consol-CIO Johan du Plessis. Denn ob Farben, Formen oder Verschlüsse – auch auf dem Glasmarkt bestimmen Moden und Trends das Geschäft. Nur aktuell verfügbare Daten
ermöglichen schnelles Handeln.
Die dafür nötige flexible Bereitstellung von Rechen- und Speicherleistung bezieht Consol jetzt aus
einer T-Systems-Cloud. „Es gibt nur wenige Provider, die eine SAP-Landschaft so stabil anbieten und zugleich jeden neuen Prozess oder
Geschäftsverlauf dynamisch mitgehen“, begründet Johan
du Plessis die Entscheidung und ergänzt: „Am Anfang
unserer Zusammenarbeit war T-Systems für uns ein
Supplier. Heute ist die Telekom-Tochter ein strategischer Partner.“
Via Cloud hat der südafrikanische Glaskonzern nun weltweit und jederzeit
Durchblick auf seine Produktionszahlen,
Kosten und Investitionen.
8
bewegen
ICT SICHERHEIT
ZWISCHEN SECURITY
UND PRODUKTIVITÄT
Lesen Sie hier …
X vom Kostenfaktor zum Business Value – wie
ICT Security wirtschaftlichen Erfolg sichert,
X welche Sicherheitsstrategie Unternehmens-
daten und Anwendungen wirklich schützt,
X warum der Standort eines Rechenzentrums
für Wettbewerbsfähigkeit, Compliance
und Governance eines Unternehmens entscheidend sein kann.
Cyberkriminalität – Sicherheitsrisiko Nummer 1
Foto: Mike Schroeder/argus
Quarum Unam Incolae Belgae
In Computerviren und Datenmissbrauch sehen knapp zwei Drittel
der Führungskräfte aus Wirtschaft, Politik und Verwaltung ein
deutlich höheres Risiko als in klassischer Kriminalität und Katastrophen. Dies geht aus dem „Sicherheitsreport 2011“ hervor,
den das Allensbacher Institut für Demoskopie und das Centrum
für Strategie und Höhere Führung im Auftrag von T-Systems
erstellten. Danach hat IT-Sicherheit für 67 Prozent der Entscheider in größeren Unternehmen einen sehr hohen Stellenwert
(siehe Trendmonitor Seite 44). Zugleich gehen 42 Prozent der
Befragten davon aus, dass Internet- und Computerkriminalität
in Zukunft weiter zunehmen werden. Denn Hacker und Industriespione rüsten auf, und ihre Methoden werden immer dreister.
9
„ Wenn Sie Ihre Daten
unbeschadet
zurückhaben wollen ,
zahlen Sie 30 Millionen Dollar. Ansonsten …“ – Allein in Deutschland belief
sich der Schaden durch Wirtschaftskriminalität 2010 auf über 20 Milliarden
Euro. Mehr als die Hälfte der Beute – an Daten und Geld – erzielten dabei
Hacker durch Cyberattacken. Cloudnapping heißt das neueste „Geschäftsmodell“ der Onlinekriminellen, bei dem Cyber-Erpresser Unternehmensdaten
nicht etwa nur stehlen, sondern damit Lösegeld erpressen. Nach Informationen des Branchenblatts „Digital“ haben die für Online-Erpressung zuständigen Cybercrime Officers bei Interpol in Lyon allein im April dieses Jahres aus
europäischen Großunternehmen – darunter einem deutschen Konzern – Hinweise auf sechs Fälle von Cloudnapping erhalten.
Dabei verschaffen sich die Cybergangster über Trojaner und andere
Schadsoftware Zugangsdaten zu den Servern der Cloud-Provider und
blockieren durch Manipulationen binnen Sekunden Unternehmen den
Zugriff auf deren eigene Daten. Für Stunden oder Tage – bis das Lösegeld
gezahlt ist.
Egal, ob die Daten auf den Servern eines Unternehmens, im Rechenzentrum eines Cloud-Providers oder auf den Endgeräten der User gespeichert
sind: „Mit der zunehmenden Zahl von Angriffen aus dem Netz“, so T-SystemsCEO Reinhard Clemens, „sind Sabotage und Spionage zu einem eigenständigen Wirtschaftszweig geworden, der Unternehmen wie Gesellschaft bis
ins Mark treffen kann.“
Die zunehmenden Cyberattacken auf Wirtschaft, Industrie und nicht
zuletzt auf die nationale Sicherheit elektrisieren auch die Politik. So warnte
Bundeskanzlerin Angela Merkel auf der diesjährigen Sicherheitskonferenz in
München vor dem „Wettrüsten im Internet“ und wies darauf hin: „Cyberwar ist
so gefährlich wie ein klassischer Krieg.“
Im vergangenen Jahr sabotierte die Schadsoftware Stuxnet die Steuerung
von iranischen Nuklearanlagen. Der mutmaßlich von Geheimdiensten eingeschmuggelte Trojaner zeigt ein völlig neuartiges Bedrohungspotenzial auf, indem er industrielle Steuerungssysteme angreift, wie sie auch in vielen kritischen
Infrastrukturen der Energiewirtschaft oder der Wasserversorgung enthalten
sind. Prompt meldete die US-Sicherheitsfirma Symantec vor wenigen Wochen
den mutmaßlich ersten Stuxnet-Nachfolger: Der Wurm „Duqu“ zielt in die gleiche Richtung wie sein Vorgänger. Kontroll- und Steuerungssysteme von Industrieanlagen sind ebenfalls in den Mittelpunkt von Angriffen gerückt.
Heimvorteil
Europa
Ob Cyberattacken oder Insider-Sabotage – weitgehend unabhängig davon,
aus welcher Richtung Unternehmensdaten fremde Einsichtnahme droht,
registrieren internationale IT-Provider wie T-Systems ein zunehmendes Interesse ihrer Kunden an Europa. Deren Aufmerksamkeit weckt besonders das
10
bewegen
ICT SICHERHEIT
Fingerprint für die
Finanz Informatik
Um die Zugangsberechtigung ihrer Mitarbeiter zu
IT-Anwendungen und Geschäftsdaten zu überprüfen,
bietet die Finanz Informatik ihren Kunden eine starke
Authentisierung mittels einer biometrischen Lösung
von T-Systems an. Das Unternehmen ist der IT-Dienstleister der Sparkassen-Finanzgruppe, zu der unter anderem
429 Sparkassen mit deutschlandweit 250 000 Arbeitsplatzsystemen zählen. Zusätzlich zu einem Passwort
identifizieren sich heute schon Tausende Mitarbeiter beim
Log-in auf einem USB-3D-Fingerprintscanner mit ihrem
Fingerabdruck. Über die anwenderfreundliche,
skalierbare Biometrielösung erfüllen die Unternehmen
der Finanzbranche die vorgeschriebenen Standards für
erhöhte Sicherheit beim Zugriff auf ihre IT-Systeme.
Links:
www.f-i.de
www.t-systems.de/finanz-informatik
hohe Datenschutzniveau innerhalb der EU und eine optionale Konzentration
ihrer Datenbestände in europäischen Rechenzentren. Ein Punkt, der etwa
Microsoft unlängst veranlasste, die Partnerschaft mit T-Systems auszubauen,
um den Kunden Softwareangebote wie Exchange und Sharepoint auch über
deutsche Rechenzentren zur Verfügung zu stellen.
Wie auch im Fall des Mineralölkonzerns Shell. Als einer der größten
Microsoft-Kunden Europas bezieht das niederländisch-britische Unternehmen Cloud-Computing-Lösungen wie die Multifunktionsplattform Sharepoint
vom US-Softwarehaus. Gespeichert werden die Daten aber nicht bei Microsoft, sondern auf Servern von T-Systems. Denn bei der Telekom-Tochter treffen die Kunden die Auswahl ihres Serverstandorts und wissen so immer, wo
ihre Daten gespeichert werden.
Um mögliche Datenschutzverstöße und damit verbundene Bußgelder
und Schadenersatzansprüche zu vermeiden, empfahlen die Datenschutzbeauftragten des Bundes und der Länder anlässlich ihrer 82. Konferenz am
30. September deutschen Unternehmen, ihre bestehenden Verträge mit
Cloud-Anbietern zu überprüfen. Dabei sollten Unternehmen besonderes
Augenmerk darauf legen, dass sie als Cloud-Anwender den deutschen Gesetzen entsprechend „für die Einhaltung sämtlicher datenschutzrechtlicher
Bestimmungen verantwortlich“ bleiben. Ein Punkt, der an Bedeutung gewinnt, sobald die Datenverarbeitung gegebenenfalls außerhalb der EU und
des europäischen Wirtschaftsraums erfolgt. Denn Cloud-Anbieter, so die
Datenschutzkonferenz, „werden zur Erbringung der IT-Dienstleistungen oft
Unteranbieter einbeziehen“, etwa wenn deren „Inanspruchnahme auch nur
für einen kurzzeitig gestiegenen Bedarf an Rechenleistung in Betracht
kommt“.
Auch in einem solchen Fall müssen deutsche Cloud-Nutzer laut der Konferenz „ausreichende Garantien zum Schutz des allgemeinen Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweisen“. Denn,
so die „Orientierungshilfe“ der deutschen Datenschützer wörtlich: „In jedem
Fall bleibt der Cloud-Anwender haftungsrechtlich für sämtliche Schäden
verantwortlich, die der Cloud-Anbieter oder sein Unteranbieter den Betroffenen zufügen.“
Behörden und Regierungsstellen
Ziel von Angriffen
Weniger sind es Haftungsfragen als brandaktuelle und reale Risikoszenarien,
die seit einigen Monaten die US-Behörden beschäftigen. Im Juli dieses Jahres
drangen Hacker in die mutmaßlich gut geschützten Netze des US-Pentagons
ein, stahlen vom Rechner eines Rüstungszulieferers 24 000 streng geheime
Daten über Flugzeugelektronik, Überwachungstechnik und Netzwerkprotokolle. In wessen Auftrag die Angriffe erfolgten, ist bis heute nicht öffentlich bekannt.
Wohl eher keine Konkurrenten, sondern Cybergangster waren es auch,
die im April dieses Jahres und noch einmal im Mai mehr als 100 Millionen
Kundendaten vom Playstation-Netzwerk des Elektronikkonzerns Sony kopierten. Mutmaßlicher Schaden: 170 Millionen Dollar. Noch nicht eingerechnet die Entschädigungen aus einer Sammelklage verärgerter Kunden
und der Imageverlust für Marke und Konzern. „Ich glaube, Sie sehen, dass
Cyberterrorismus eine globale Macht ist“, räumte Sony-Chef Howard
Stringer gegenüber Aktionären ein, nachdem der Börsenwert des Unternehmens in Rekordgeschwindigkeit um 50 Prozent eingesackt war.
Mobile Datenkommunikation
mit SiMKo
11
Fotos: iStockphoto.com, fotolia.com
Ob in Regierungsstellen oder der öffentlichen Verwaltung, im Finanzsektor oder in der
industriellen Fertigung – für die Steigerung der Produktivität spielt in immer mehr Branchen
eine Rolle, dass die Mitarbeiter nicht nur mobil arbeiten, sondern dabei auch sicher
kommunizieren können. Für den verlässlichen Schutz vertraulicher Daten in ihrer mobilen
Kommunikation nutzen 38 Organisationen des Bundes und seiner Ministerien den sicheren
PDA SiMKo. Das von T-Systems gehärtete Endgerät bietet ausschließlich seinem individuellen
Nutzer den hochsicher verschlüsselten Zugriff auf seine persönliche Daten und ermöglicht
Regierungs- und Verwaltungsbediensteten, auch mobil auf ihre Kontakte, Kalenderfunktionen
und E-Mails zugreifen zu können. Die gleiche Lösung nutzen bereits 50 Mitarbeiter der
Geschäftsführung und oberen Führungsebenen der Sparkasse Pforzheim Calw. Die Lösung
SiMKo („Sichere mobile Kommunikation“) umfasst dabei Sicherheitsmaßnahmen, die sowohl
Hardware als auch Software und den Betrieb der Smartphones vor Angriffen schützen. So
betrifft die Verschlüsselung den Zugang zur Kundeninfrastruktur, die übertragenen Daten, das
Betriebssystem und die auf den Endgeräten gespeicherten Daten. Darüber hinaus arbeiten
SiMKo-Smartphones mit einer „digitalen Identität“, also Zertifikaten, die von einem Trustcenter
bereitgestellt werden. Die Zertifikate werden auf einer besonders geprüften Krypto-Karte im
Gerät gespeichert, das ohne Umwege über Fremdserver eine direkte Verbindung zu einem
Behörden- oder Unternehmensnetz und den Geschäftsanwendungen aufbaut. Dabei ist jede
Verbindung über einen VPN-Tunnel gesichert. So ausgestattet, ist SiMKo die einzige vom
Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlene Lösung für eine sichere
PIM-Datensynchronisation.
Links:
www.bsi.de
www.sparkasse-pforzheim-calw.de
www.t-systems.de/simko
Definitiv unfreiwillig wurde Sony durch einen einzigen Sicherheitsvorfall vorübergehend zum Übernahmekandidaten. Mitte Oktober erwischte
es den Konzern zum dritten Mal. Wieder ging es den Hackern um die Nutzerkonten beim Spieledienst Sony Online Entertainment (SOE) und beim
weltweiten Playstation Network (PSN). Immerhin konnte Sony diesmal viel
schneller reagieren. „Nur“ 93 000 gingen verloren, bevor die Cyber-Abwehrstrategen des Unternehmens den Angriff stoppten.
Allein in Deutschland registrierte das Bundeskriminalamt im vergangenen
Jahr 250 000 Angriffe via Internet, um an das Identitätsprofil von Usern zu kommen. Den Anstieg von 20 Prozent im Vergleich zum Vorjahr führen Experten
vor allem darauf zurück, dass die Zahl mobiler Endgeräte zunimmt. Denn in
nicht wenigen Fällen nutzten Hacker die immer breiter dargebotene Angriffsfläche, um sich mit einer von mobilen Endgeräten gestohlenen Identität in ein
Firmennetz einzuloggen und auf vertrauliche Applikationen zuzugreifen. Zusätzlich haben Angreifer oft durch schlecht gesicherte Server, auf denen
Sicherheits-Updates nicht eingespielt worden sind, leichtes Spiel.
Vom Mitarbeiter
zum Mittäter
Mehr als 70 Prozent der Täter kommen einer Studie des Sicherheitsforums
Baden-Württemberg zufolge aus dem eigenen Unternehmen und sind im
Durchschnitt bereits zehn Jahre dort beschäftigt (siehe „Kontrovers“, Seite 34).
„Viele Unternehmen haben sich in der Vergangenheit zu lange auf Angreifer von
außen, Industriespione oder Hacker, konzentriert“, so der Telekom-Vorstand für
Datenschutz, Recht und Compliance, Manfred Balz. Dabei sei „das Potenzial
der Innentäter lange unterschätzt worden“. Denen werde es „relativ leicht gemacht, im eigenen Unternehmen einen sehr großen Schaden anzurichten“.
Doch unter den Tätern, so Dieter Kempf, Präsident des deutschen Branchenverbandes BITKOM, seien nicht nur jene, die bewusst kriminell agieren. Immer
häufiger würden Angestellte auch unwissentlich als Werkzeuge missbraucht.
Das Problem mit kleinen
Geheimnissen
Um an Konstruktionspläne oder Produktionsdaten zu gelangen und dabei die
perimetrischen Sicherheitswälle der Unternehmen einfach zu unterlaufen, ist
ein kleiner Umweg für Hacker häufig viel zielführender. Etwa der zu den persönlichen Finanzdaten eines Entwicklungsingenieurs, zu dem außerehelichen
(SMS-)Verkehr des Produktionsleiters mit seiner Affäre oder dem unschönen
Dokumentenaustausch des eigenen Anwalts mit der Führerscheinstelle – Stichwort „Trunkenheitsfahrt“. Völlig banal oder hochbrisant? Je höher der oder die
Einzelne den Geheimhaltungsdruck bei einem sehr persönlichen „little secret“
empfindet, desto größer ist das Risiko, dass er oder sie vom Opfer zum (Mit-)
Täter für andere wird. Ob Laptop oder Smartphone – auf dem privaten Device
Abgelegtes mag für den einen normal und vor allem privat sein. Für andere ist
es gerade deshalb extrem reizvoll. Taugt es im zweiten Schritt doch dazu, dem
Ausgeforschten wenn schon nicht gleich die Daten für das Future-2/17-Projekt
abzupressen, so aber zumindest die Zugangsdaten dorthin.
So bestätigte Jörg Ziercke, Präsident des Bundeskriminalamts, bei der
Vorstellung des BKA-Lagebilds „Cybercrime 2010“ im Juni dieses Jahres: „Die
Täter folgen dem Nutzungsverhalten der Anwender. Mobile Endgeräte werden
12
IT-Regelwerk speziell für
Krankenhäuser
Fotos: iStockphoto.com, T-Systems
Kliniken in Deutschland müssen lückenlos dokumentieren können, welcher
Mitarbeiter welche Patienteninformationen bearbeitet oder auch nur eingesehen
hat. Dafür nutzt das Berliner Krankenhaus Königin Elisabeth Herzberge eine
SAP-„Governance, Risk & Compliance“-Lösung (GRC), die T-Systems in einem
Pilotprojekt für die Branchenlösung IS-H (Industry Solution Hospital) entwickelt hat.
Basis ist das Modul BusinessObjects Access Control, das SAP für Industrieunternehmen – aber nicht für Kliniken – schon als Standard anbietet. Die Telekom-Tochter
hat diese Lücke jetzt geschlossen. Dafür wurden von den T-Systems-Experten alle
Vorgaben für kritische Berechtigungen und sogenannte Funktionstrennungskonflikte
in der IS-H-Lösung zusammengeführt und als Regelwerk in SAP BusinessObjects
Access Control eingespielt. Aus den gemeinsamen Erfahrungen haben SAP und
T-Systems ein GRC-Outsourcing-Modell entwickelt, mit dem der ICT-Dienstleister
demnächst für Krankenhauskunden eine zentrale Governance-Risk-&-CompliancePlattform in seinen Rechenzentren bereitstellen kann. Damit können Kliniken
remote, ohne eigene Installation, auf das GRC-Regelwerk zugreifen und ihrer Kontrollund Überprüfungspflicht, wie sie jedes Krankenhaus im Umgang mit sensiblen
Patientendaten hat, deutlich einfacher nachkommen.
Links:
www.keh-berlin.de
www.t-systems.de/partner/sap
infiziert, um parallel zum PC auch an Daten und Inhalte von SMS und SMSbasierten Authentifizierungsverfahren zu gelangen.“
Alles eine Frage
von Risikobewusstsein
Allein soziale Netzwerke wie Facebook, Xing oder LinkedIn können wertvolle
Informationen über Angriffsziele und deren personelles Umfeld liefern. Zwar
lassen sich Profile vor ungewünschten Einblicken schützen, doch die wenigsten
Social Networker wissen das. Und deren Gutgläubigkeit beschwört mitunter noch
ganz andere Gefahren herauf. René Reutter, Leiter ICT-Sicherheit bei T-Systems:
„Eine klassische E-Mail mit individuellem Zuschnitt reicht bei fehlendem Risikobewusstsein meistens schon aus, damit Hacker das Vertrauen von Mitarbeitern
gewinnen. Gerade wenn es um die eigenen Hobbys oder Themen der Freizeitgestaltung geht, werden viele Menschen unvorsichtig.“ Hinter den unauffälligen
Mails steckt das Ziel, präparierte Anlagen in der E-Mail oder auf einer entsprechend modifizierten Webseite („drive-by infection“) durch den Angeschriebenen
nutzen zu lassen. Im selben Moment kann es bei fehlender Absicherung der Systeme dazu kommen, dass der User unwissentlich sogenannte Remote Administration Tools installiert und es dem Korrespondenzpartner dadurch ermöglicht,
den Rechner von „Command and Control“-Servern aus fernzusteuern.
Doch der Unternehmensberatung KPMG zufolge schult nur jedes vierte
Unternehmen seine Mitarbeiter in Sicherheitsfragen und -technologien. Nur
ein von drei Unternehmen hat überhaupt ein IT-Sicherheitskonzept, das
wenigstens in der Theorie auch Mitarbeitern deren eigenes Angriffsrisiko vor
Augen führen könnte. 37 Prozent der Firmen sichern ihre geschäftlichen Daten nicht täglich, sieben Prozent – vor allem kleinere und mittlere Unternehmen – praktisch nie in einem zusätzlichen Backup.
Vielfach geht es Datendieben um Betriebsgeheimnisse und wettbewerbsrelevante Informationen – und letztlich um Geld. Unternehmen, die milliardenBest Practice 04 l 2011
schwere F&E-Daten zu schützen haben, Banken, die den Geldverkehr ihrer
Kunden sichern müssen, Firmen, denen (mit intelligenter Schadsoftware
hochgerüstete) Hacker gern wertvolle Kundendaten abphishen, werden sensibler. Und auch immer mehr Endverbraucher, die bis dato sorglos privateste
Daten bei Facebook & Co. eingespeist haben, grübeln heute: Wo sind meine
Daten eigentlich noch geschützt?
Gute Frage. Denn während Internet-User Daten und Anwendungen auf
Notebooks und PCs im Büro oder zu Hause durch Antiviren- oder SecuritySoftware schützen, denken über die gleiche Schutzsoftware für Smartphones und Tablets nur die wenigsten nach. Nicht zuletzt deshalb, so Norbert
Pohlmann, Professor am Institut für Internet-Sicherheit der Fachhochschule
Gelsenkirchen, „bieten unsere Daten immer breitere und vielfältigere Angriffsflächen“ (siehe Seite 32).
Sicherheit
in der Wolke
Letztendlich geht es um den Schutz von Know-how, Informationen, Daten und
Geschäftsprozessen. Darum, durch den Schutz vor Industriespionage und Geheimnisverrat auch die eigenen Entwicklungsvorsprünge abzusichern. Doch,
so René Reutter, „viele Firmen verfügen weder über das notwendige technische Know-how noch über die personellen Ressourcen, um ihre Netzwerke
und ICT-Strukturen Tag und Nacht zu durchleuchten und zu überwachen“.
Aber nicht jeder Unternehmensvorstand will diese Schwäche wahrhaben.
„In nahezu jeder Firma geht Investitionen in mehr Sicherheit eine KostenNutzen-Rechnung voraus“, so die Beobachtung des IT-Sicherheitsforschers
Dr. Sandro Gaycken. Das Problem sei, sagt der Wissenschaftler der FU Berlin, dass „die Gefahren aus dem Netz den Verantwortlichen häufig diffus
erscheinen, Kosten für die Aufrüstung der eigenen IT-Protektion jedoch sehr
konkret“ (siehe „Kontrovers“, Seite 35).
bewegen
13
ICT SICHERHEIT
Interview
„SECURITY ALS
SERVICE ANBIETEN“
Hagen Rickmann, verantwortlich für den T-Systems-Geschäftsbereich
Service, über Erfahrung mit Internetkriminalität, die Qualität von
Sicherheitsdienstleistungen und compliancegerechte Lösungen.
Herr Rickmann, was sind die
konkreten Aufgaben des T-SystemsGeschäftsbereichs Service?
Spätestens bei einem Security Incident merkt jeder Kunde: Entscheidend für den Betrieb seiner
Unternehmens-IT ist nicht nur die Technik, die er
einsetzt, sondern dass sie zuverlässig läuft. In
diesem Sinne verantwortet der Geschäftsbereich Service alle Dienstleistungen gegenüber
unseren Kunden, die deren Prozesse, ihre Qualität und die Einhaltung ihrer Kosten sicherstellen. Angefangen von der termintreuen und qualitätskonformen Lieferung der Services über die
Verantwortung für das gesamte Angebotsportfolio und dessen Entwicklung durch innovative Lösungen bis zum Management von Transitions- und Transformationsprojekten.
Welche Leistungen bietet T-Systems als
führender ICT-Security-Provider an?
Sicherheit hat viele Dimensionen. Unternehmen
brauchen Lösungen in der gesamten Bandbreite von ICT-Security. Und die beginnt mit der Absicherung von Gebäuden und reicht über den
Schutz von Netzen, Rechenzentren und immer
mobileren Arbeitsplätzen bis zu rechtlichen
Rahmenbedingungen. Oder denken Sie an den
Schutz von Applikationen und Geschäftsprozessen – das alles zählt zu unserem Portfolio an
ICT-Security-Leistungen und wird unterstützt
vom Beratungsangebot unserer Sicherheitsexperten. Und da haben besondere Priorität
Compliance und Governance. Denn an vielen
Schnittstellen der Datenverarbeitung ist es wichtig, was technologisch möglich ist, aber es ist
auch entscheidend, was juristisch erlaubt ist. An
der Einhaltung dieser rechtlichen Vorgaben orientieren sich unsere Lösungen.
Welche Security-Lösungen waren für Ihre
Kunden 2011 besonders wichtig?
Laut Cybercrime-Lagebild des BKA nimmt Internetkriminalität jährlich um 20 Prozent zu.
Zugleich steigt das Schadensvolumen um
mehr als 60 Prozent. Und im „Sicherheitsreport 2011“ befürchten Entscheider über alle
Branchen hinweg, dass Computerkriminalität
das größte Risiko für ihre Organisation darstellt. Der Fokus der Unternehmen geht zunächst einmal dahin, ihre Firmenanwendungen abzusichern. Dazu gehören vor allem Lösungen, die zur Erkennung und Vermeidung
solcher Vorgänge dienen. Da werden auch
Awareness-Kampagnen und Coachings der
Mitarbeiter immer wichtiger – gerade wenn es
um den Bereich Innentäter geht. Viele Unternehmen wissen gar nicht, dass in 70 Prozent
aller Fälle von sogenanntem Know-how-Abfluss eigene Mitarbeiter oder unternehmensnahe Personen beteiligt sind.
Wie beraten Sie weltweit agierende
Kunden bei Sicherheitsfragen rund um
Security und Cloud Computing?
Wir beschäftigen mehr als 600 Mitarbeiter in
unseren Professionell Services & Solutions
(PSS), darunter Spezialisten in unserem CERT
(Computer Emergency Response Team), die innerhalb von Minuten nach dem ersten Hinweis
überall auf der Welt Schadsoftware, Trojaner
& Co. bekämpfen, abwehren und unschädlich
machen können. Da haben wir in den vergangenen Jahren aus Sicherheitsprojekten bei
zahlreichen internationalen Kunden – und dar-
unter einige Global Player – viel Know-how
und Erfahrung gewonnen. Überall dort zum
Beispiel, wo mit besonders sensiblen Daten
umgegangen wird oder F & E extrem wettbewerbsrelevante Daten hervorbringen – in Verwaltungsorganisationen, wissenschaftlichen
Einrichtungen und Zukunftsindustrien, aber
auch in Unternehmen, in denen staatliche Interessen besonders geschützt werden müssen.
Welche Herausforderungen sehen Sie
in den kommenden Monaten für Security
Services?
Eine der größten Herausforderungen wird sein,
Security als Service anzubieten. Weil Unternehmen sich immer weiter öffnen und kontinuierlich mehr Angriffsfläche bieten, wird der Bedarf
dafür weiter steigen. Denken Sie an Cloud Computing und die steigende Zahl mobiler Endgeräte. Das können Unternehmen mit eigenen
Ressourcen nicht mehr leisten. Darum investieren wir weiter in neue Cloud- und Kommunikationsdienste. So werden wir „Security as a Service“ in unsere Angebote aufnehmen, als neuen Cloud-Dienst starten und auch Administrationsvorgänge und Authentisierung weiter
vereinfachen. Das gilt übrigens – und da sehen
wir eine zweite große Herausforderung – besonders für den Bereich Mobilkommunikation.
INTERVIEW: THOMAS VAN ZÜTPHEN
Link:
www.t-systems.de/we-enable-security
n der Daten„An vielen Schnittstelle
chtig, was technisch
verarbeitung ist es wi
t auch entscheidend ,
möglich ist, aber es is
ist.“
was juristisch erlaubt
Hagen Rickmannn,
Geschäftsführer Service T-Sys tems
14
Hochprozentige
Sicherheit
Auf die neueste Generation von Antiviren-Software
für Server, Gateways und PC-Arbeitsplätze mit einem
mehrstufigen Viren-Scanning setzt die BerentzenGruppe AG, einer der führenden deutschen Hersteller
von Spirituosen und Erfrischungsgetränken. Für seine
Server und Desktops nutzt das Unternehmen das
Produkt Telesec SDS. Über die klassischen AntivirusFunktionen hinaus werden damit unter anderem
Spam-Abwehr-Methoden eingesetzt, und jeder Desktop erhält ein Firewall-System mit einer eingebauten
Intrusion Detection in Echtzeit. Eine Softwarelösung,
die – so Berentzen-IT-Leiter Heinz-Hermann Thyen –
„uns höchstmögliche Sicherheit bietet, zu reduzierten
Kosten und alles in einem System, das sich bequem
zentral verwalten lässt“.
Links:
www.berentzen-gruppe.de
www.t-systems.de/video/security-management
Doch nicht überall wird am falschen Ende gespart. Während zuletzt die IT-Budgets in vielen Bereichen gekürzt wurden, wuchsen die weltweiten Investitionen
in ICT-Sicherheit laut den Marktforschern Frost & Sullivan selbst im Krisenjahr
2009 um rund zwei Prozent auf 50 Milliarden Euro. Seither beobachten die Researcher einen weiteren Anstieg um jährlich sechs bis sieben Prozent.
Problemgerechte
Weitsicht
Um die eigene Produktivität zu erhöhen und am Markt wettbewerbsfähig zu
bleiben, stellen sich CEOs und CIOs vielerorts durchaus die richtigen Fragen.
Wie kommt unser Unternehmen an dynamisch zu nutzende IT-Ressourcen?
Wie arbeiten wir zukünftig mit unseren Zulieferern, Partnern und Kunden zusammen? Wie können wir unseren Mitarbeitern mobile Anwendungen zur Verfügung stellen, ohne in Konflikt mit der eigenen Governance zu geraten?
Ob Cloud Computing, Collaboration oder Mobility – aktuelle technologische Entwicklungen prägen das Marktumfeld in nahezu allen Branchen.
Allein, von diesen Marktanforderungen schlagen zu wenige Executives die
Brücke zu den Sicherheitsbelangen.
Beispiel Cloud Computing
Das dynamische Bereitstellen von IT-Ressourcen aus der Cloud ist aktuell
das Topthema bei IT- und Business-Entscheidern. Sie nutzen IT-Leistungen
bedarfsgerecht, variabilisieren ihre Kosten und vermeiden, teure Kapazitäten für maximale Systemlast vorzuhalten. Das Beratungshaus Forrester prognostiziert eine weltweite Marktentwicklung für Cloud-Services von aktuell
41 Milliarden Dollar auf mehr als 240 Milliarden Dollar am Ende dieser DeBest Practice 04 l 2011
kade. Doch auch wenn Unternehmen ihre Daten und IT-Anwendungen einem Cloud-Provider anvertrauen, bleibt die gesetzliche Verantwortung für
das Einhalten von Datenschutz und Compliance beim Unternehmen. Schon
aus diesem Grund sollten Verantwortliche „eine klar definierte, strukturierte
und ganzheitliche ‚Governance, Risk & Compliance‘-Strategie“ stellen, so
der IT-Analyst Bernt Ostergaard von Current Analysis (siehe Interview „Analyze IT“, Seite 16). Wichtig sei, so der Experte, „Bedrohungen rechtzeitig
zu erkennen und Angriffe in Near Real-Time abzuwehren“. Dafür müssten
Security-Verantwortliche Sicherheitsaspekte schon bei der Entwicklung
von Geschäftsprozessen berücksichtigen. Denn, so Ostergaard: „Die Vorstellung, dass man Sicherheit im Nachhinein einbauen kann, ist schlichtweg falsch.“
So schließt etwa ein Identity & Access Management rollenbasierte Berechtigungen und Zugriffsverfahren ein. Neben den Dynamic Services setzt
zum Beispiel T-Systems selbst für die Bereitstellung von IT-Sicherheitslösungen heute schon auf Cloud-Technologien und bietet sie als Managed Security Services oder Identity as a Service an. Dabei werden in den eigenen
Rechenzentren kundenspezifische Anwendungen und Daten durch Virtual
Local Area Networks sauber voneinander getrennt und verschlüsselt.
Neben der Standortwahl des Rechenzentrums sichert beim Cloud
Computing auf Wunsch eine sogenannte Twin-Core-Strategie Daten und
Anwendungen in einem parallelen Rechenzentrum ab. Die Synchronisation
findet im laufenden Betrieb automatisch statt. Fällt am Hauptstandort ein
Server aus, übernimmt der „Zwilling“ nahtlos den Betrieb. Das Geschäft
läuft störungsfrei weiter. Zudem sind die Netzverbindungen zu diesen
Standorten doppelt ausgelegt, und die Daten werden verschlüsselt übertragen. Der gesamte Datenbestand, das höchste Gut in der IT, steht jeder-
bewegen
15
ICT SICHERHEIT
Standort entscheidend.
In den europäischen
Rechenzentren von T-Systems
(Foto) schützen auch
internationale Unternehmen
gern ihre Daten vor
unberechtigtem Zugriff.
Fotos: Wolfram Scheible/Deutsche Telekom AG, iStockphoto.com
Vertrauen ist gut, Cloud Security
ist besser
Das tschechische Unternehmen Software602 ist spezialisiert auf Dienstleistungen und
Anwendungen rund um die Themen Prozessdigitalisierung, Onlineformulare und E-Government. Der IT-Dienstleister gehört zu den führenden Anbietern in Mitteleuropa und blickt auf
langjährige Erfahrung speziell im Bereich E-Government zurück. Von den Technologien des
Unternehmens profitieren bereits Millionen von Bürgern – durch täglich 150 000 sichere,
elektronisch verifizierte Transaktionen. Angeschlossen sind gegenwärtig 40 000 Anwender
an 7000 Standorten.
Das IT-Unternehmen betreibt das Portal www.secustamp.com, das EU-weit von mehreren
hundert Kunden aus dem öffentlichen und privaten Sektor genutzt wird. Das Portal ermöglicht
es Anwendern, mit elektronischen Dokumenten zu arbeiten – ganz ohne spezielle
Vorkenntnisse. Zu den Leistungen gehören die Verifizierung digitaler Signaturen, Zeitstempel,
PDF-Konvertierungstools und elektronische Freigabeprozesse. Dank der Unterstützung
von Smartphones und Tablet-PCs kann das Bearbeiten von Dokumenten von überall her erfolgen – auch von unterwegs. Das SecuStamp-Portal kann in alle gängigen IT-Anwendungen
integriert werden, zum Beispiel ERP, CRM, DMS oder Workflow-Management.
Die entsprechende Infrastruktur wird im Prager T-Systems-Rechenzentrum betrieben – als Teil
einer Hybrid-Cloud-Lösung. Sicherheit, Skalierbarkeit und Zuverlässigkeit auf Grundlage
verbindlicher SLA sind dadurch garantiert. Damit kann sich Software602 weiterhin auf sein
schnell wachsendes, dynamisches Kerngeschäft konzentrieren.
Kontakt: fi[email protected]
Link:
www.software602.com
zeit in beiden Rechenzentren zur Verfügung. Durch definierte Servicelevels und hohe Verfügbarkeiten hat der Kunde die permanente Kontrolle
über die eigenen Daten und Geschäftsapplikationen – auch in einer virtualisierten Umgebung.
Beispiel Collaboration
Daten- und Informationssicherheit, aber auch die Sicherheit von Geschäftsprozessen spielen in einer unternehmensübergreifenden – vielfach internationalen – Zusammenarbeit eine entscheidende Rolle. Ohne ein umfassendes Sicherheitskonzept mit Rechtemanagement und sicheren Identitäten, die den Zugang zu Systemen und Informationen regeln, droht der Verlust von Daten, Know-how und Geschäftsgeheimnissen. Zur Speicherung
empfehlen sich Secure Data Container, eine Datenverschlüsselung auch
während der Übertragung und auf den beteiligten Endsystemen. Den sicheren Zugriff bieten rollenbasierte Lösungen für Identity & Access
Management. Denn mehr und mehr wollen Mitarbeiter unabhängig von
ihrem Aufenthaltsort per Chat oder Wikis, Videokonferenzsystemen oder
internen Social Media Tools datensicher miteinander kommunizieren und
arbeiten. Die Zukunft gehört ICT-Security-Systemen, die eine transparente
und offene Zusammenarbeit sicher machen.
Beispiel Mobility
Mobile Datenträger, wie sie nicht zuletzt der Trend zum „Bring your own Device“ in die Unternehmen spült, sind laut einer E-Crime-Studie von KPMG
zu „Computerkriminalität in der deutschen Wirtschaft“ die leichtesten Angriffspunkte in der Informations- und Kommunikationstechnik. Durchgängige Security-Lösungen mit rollenbasierten Zugriffskonzepten helfen CIOs,
die ständig wachsende Zahl und Vielfalt immer neuer Endgeräte zu integrieren und zuverlässig zu managen. Nicht zuletzt müssen die Verantwortlichen dabei zunehmend persönliche IT-Präferenzen der Mitarbeiter berücksichtigen. „Mit MoWS (Mobile Workplace Services) können sie Geräte identifizieren, User authentifizieren und im Zweifelsfall über Dienste wie Remote
Wipe verdächtige Geräte abschalten“, so Hagen Rickmann, Geschäftsführer Service bei T-Systems. Der Service gewährleistet, dass Daten – wenn sie
auf einem Gerät bleiben – dort nur verschlüsselt abgelegt werden. Das Gros
der von Mitarbeitern genutzten Daten und Anwendungen wird indes gar
nicht auf dem Gerät gespeichert, sondern ausschließlich in Servern des
Cloud-Providers. So wird das Mitarbeiter-Device auf Basis zweier Nutzerprofile zur Schnittstelle auch zwischen privaten und businessgenutzten
Cloud-Anwendungen, die zukünftig vom Dienstleister virtualisiert scharf
voneinander getrennt bleiben.
„Absolute Sicherheit“, so T-Systems-CEO Reinhard Clemens, „gibt es
nicht.“ Aber eine Vielzahl leicht einzusetzender Hindernisse, die Hackern
und Spionen das Eindringen in fremde Netze sehr schwierig machen. Den
tokenbasierten Passwortschutz One Time Pass (OTP) zum Beispiel. Oder
biometrische Authentifizierungslösungen, wie sie etwa der IT-Dienstleister
der Sparkassen-Finanzgruppe heute schon bei Tausenden seiner Mitarbeiter einsetzt (siehe Seite 10). Verifizierungstools zur Prüfung digitaler
Signaturen etwa beim tschechischen Spezialisten für elektronisches Dokumentenmanagement Software602 oder das von T-Systems entwickelte
System für sichere mobile Kommunikation SiMKo, wie es neben der Bundesregierung auch immer mehr Firmen einsetzen: von Industrieunternehmen bis hin zu Finanzinstituten wie der Sparkasse Calw Pforzheim.
Zahlreiche Lösungen für Enterprise Security und Business Protection an
16
bewegen
ANALYZE IT
INTERVIEW
EIN UNTERNEHMEN
IST KEINE INSEL
Bernt Ostergaard, Research Director IT Services bei Current Analysis, über einen ganzheitlichen Ansatz
in Sachen IT-Sicherheit, die Voraussetzungen für ein reibungsloses Zusammenspiel mit externen Partnern
und warum bei der Auswahl externer Dienstleister deren Gesamtportfolio entscheidend ist.
INTERVIEW
Foto: privat
Herr Ostergaard, welche Fragen stehen bei
Ihnen ganz am Anfang, wenn Sie die IT-Sicherheit eines Unternehmens analysieren?
Zu Beginn aller Überlegungen steht eine klar definierte, strukturierte und ganzheitliche „Governance, Risk
& Compliance“-Strategie (GRC). Das setzt eine von
Anfang an sehr enge Abstimmung mit der Geschäftsführung beziehungsweise dem Vorstand voraus. Im
ersten Schritt sollten präzise Maßnahmen herausgearbeitet werden, die für die Sicherheit aller Unternehmenswerte und Businessprozesse relevant sind. Anschließend folgt eine Priorisierung nach Wichtigkeit
und Wertigkeit. In dieser Rangfolge kommt man nicht
umhin, die bereits bestehenden Sicherheitsmechanismen genauer unter die Lupe zu nehmen. Vor allem
muss man sich vergegenwärtigen, wie diese Bausteine zusammenspielen und wie sie die einzelnen
Businessprozesse im Unternehmen unterstützen.
Mich erstaunt immer wieder, welche Budgets Unternehmen dafür ausgeben, ihre Schnittstellen nach
außen zu sichern. Auf der anderen Seite fehlen dann
häufig die Mechanismen, bereits aufgetretene Verstöße punktgenau zu identifizieren. So wichtig wie die
eigenen Abwehrmechanismen ist es, Bedrohungen
rechtzeitig zu erkennen – und zwar dann, wenn sie
eintreten, oder allerspätestens kurz danach.
Nur eine Detailanalyse kann hier die Grundlage
weiterer Überlegungen und Maßnahmen sein. Datenanalyse und Log-Überwachung unterstützen dabei,
Angriffe zu erkennen und abzuwehren – das alles in
Near Real-Time. Sobald eine Sicherheitslücke erkannt wird, muss sie umgehend behoben werden.
Das kann allerdings Wochen oder sogar Monate in
Anspruch nehmen. Es ist deshalb unabdingbar,
Sicherheitsaspekte schon bei der Entwicklung von
Geschäftsprozessen zu berücksichtigen. Die Vorstellung, dass man Sicherheit im Nachhinein einbauen
kann, ist schlichtweg falsch.
Worauf müssen Unternehmen achten, wenn sie
ihre IT sicherer machen wollen?
Zunächst einmal: Das Thema Sicherheit muss als
Business Value betrachtet werden. Sicherheit muss
das Unternehmen auch wirtschaftlich voranbringen,
nicht behindern. Dazu gehört, dass Sicherheitsmaßnahmen die alltäglichen operativen Arbeitsprozesse
nicht negativ beeinträchtigen dürfen und zum wirtschaftlichen Erfolg des Unternehmens beitragen.
Drei Schlüsseltrends kommen heute auf Unternehmen zu. Erstens: mobiles Arbeiten, bei dem Mitarbeiter Fernzugriff zu allen relevanten Ressourcen benötigen – auch von unterwegs. Zweitens: Mitarbeiter
nutzen immer öfter ihre eigenen Endgeräte auch in
der Arbeitswelt. Darauf haben Unternehmen kaum
Einfluss. Gleichzeitig sind Unternehmen dazu verpflichtet, die Einhaltung von Sicherheitsstandards zu
garantieren und die entsprechenden Zugriffsrechte
klar zu definieren. Zu guter Letzt – als unmittelbares
Ergebnis des Einsatzes von Virtualisierung und
Cloud Computing – sind Anwendungen und Daten
heutzutage vielfach überall verstreut und werden
nicht mehr wie früher zentral bereitgehalten. Inzwischen ist die Speicherung außerhalb der firmeneigenen Netzwerkumgebung schon gang und gäbe. Diese Entwicklungen gilt es zu berücksichtigen. Entsprechend müssen Unternehmen ihre GRC-Ansätze
überdenken und neu ausrichten.
Was spricht aus Sicht eines Unternehmens
dafür, die eigene IT-Sicherheit externen
Anbietern anzuvertrauen?
Im angelsächsischen Raum sagt man: No company
is an island. Die globalisierte Welt ist ohne internationale Arbeitsteilung nicht mehr vorstellbar – und das
Thema Sicherheit macht da keine Ausnahme. ITSicherheit hat eine universelle Relevanz. Hinzu kommen permanente und rasche Veränderungen sowie
die rasant wachsende Anzahl und Verschiedenartigkeit von Angriffen. Ein externer Security-Partner ist als
Spezialist auf diesem Gebiet in der Lage, Unternehmen vor solchen Bedrohungen nachhaltig zu schützen. Zum Beispiel, indem er Instrumente bereitstellt,
die eine höchstmögliche interne Sicherheit garantieren und die insbesondere vor Denial-of-Service-Angriffen (DDoS) schützen. Solche und ähnliche Aufgaben können oder wollen viele Unternehmen oft nicht
selbst in die Hand nehmen und konzentrieren sich lieber auf ihre unternehmenseigene Kernkompetenz.
So gesehen, kann ein Outsourcing dieser sicherheitsrelevanten Aufgaben durchaus sinnvoll sein.
Wenn ich zum Beispiel ein Unternehmen wie
T-Systems danach frage, welche Sicherheitsstandards es einsetzt, übergibt man mir eine Liste, auf
der mindestens 25 unterschiedliche Normen verzeichnet sind – von Revision und Rechenzentren
über Authentifizierung bis zu Identity Management.
Ein einzelner Kunde wäre niemals in der Lage, sämtliche Anforderungen zu erfüllen. Das kann nur ein
ausgewiesener IT-Provider leisten.
Es gibt eine Vielzahl großer, international tätiger
IT-Provider im Bereich Cloud Computing. Welche
Bedeutung spielt die Größe eines solchen
Providers – ganz besonders in Bezug auf die
Sicherheit seiner Services?
Ohne Frage spielt die Größe des Anbieters eine
wichtige Rolle. Das hat damit zu tun, dass nur ein
Provider mit entsprechendem Gewicht in der Lage
ist, permanent in die neueste Virtualisierung und
Cloud-Service-Technologie zu investieren. Das gilt
auch für sämtliche Sicherheitsleistungen, die damit
zusammenhängen, insbesondere für das Identity & Access Management. Größer bedeutet aber
nicht zwangsläufig besser. Viel wichtiger als die Größe des Unternehmens ist sein Gesamtportfolio, speziell was Cloud Computing angeht. Gibt der Provider zum Beispiel eine überzeugende Antwort auf
die Frage: Erfüllen Sie alle unserer branchenspezifischen Anforderungen? Es gibt noch zwei weitere
Schlüsselkriterien, auf die ich bei der Auswahl achten würde: weltweite Präsenz des IT-Providers und
der Standort seiner Rechenzentren.
Wo sehen Sie zukünftige Entwicklungschancen
im Markt für Sicherheitsleistungen? Auf
welchen Gebieten erwarten Sie das stärkste
Wachstum?
Aktuell sehen wir viel Bewegung auf dem Markt der
sogenannten Big Data Analytics. Dabei geht es um
die Möglichkeit, sehr unterschiedliche Zusammenstellungen von Daten zu analysieren und herauszufinden, wie sie miteinander korrelieren. Dieser
bewegen
17
ICT SICHERHEIT
Twin-Core-Strategie für
Hochsicherheits-Hosting
„Die Annahme, dass
man Sicherheit im
Nachhinein einbauen
kann , ist schlichtweg
falsch .“
Bernt Ostergaard,
Research Director Current Analysis
top se
secret
top secret
Ein hochsicheres Informationssystem ist für das Wertpapiermanagement
der Unicredit-Tochter Pioneer Investments in Tschechien unerlässlich.
Finanzielle Transaktionen, die auf dem weltweiten Börsenmarkt rund um die
Uhr durchgeführt werden, erfordern es, Anwendern eine maximale
Ver fügbarkeit ihrer zumeist streng vertraulichen Daten zu gewährleisten.
Sowohl das System selbst als auch der Zugriff durch Benutzer müssen
zu jedem Zeitpunkt optimal geschützt sein.
Die Implementierung strenger Richtlinien zur physischen Verfügbarkeit der
IT-Infrastruktur sowie die Verwendung der technisch hochqualifizierten
verschlüsselten Kommunikation mit Anwendern sind dabei selbstverständlich. T-Systems hostet die Pioneer-Anwendungen in zwei unabhängigen
Datenzentren, die den Zugriff auf die kritischen Anwendungen auch im
Notfall unabhängig voneinander über beide Standorte sicherstellen. Dabei
beinhaltet die Lösung eine verschlüsselte Ethernet-Datenverbindung
zwischen beiden Datenzentren und dem LAN des Kunden, gesichert durch
eine weitere unabhängige Internetroute. Zusätzliche Sicherheit bietet
eine vorbereitete Datenverbindung zum alternativen Backup-Kundenstandort, der ohne wesentliche Einschränkungen Zugriff auf alle wichtigen
gehosteten Systeme und Anwendungen gewährleistet.
Link:
www.pioneerinvestments.de
Bereich ist deshalb stark im Kommen, weil Unternehmensgrenzen immer mehr verschwimmen und
IT-Abteilungen sich damit konfrontiert sehen, eine
immer größere Anzahl verschiedener Endgeräte
und mobiler User unter einen Hut zu bringen. In
der Konsequenz steigen die Datenmengen, die
ein Unternehmen verarbeiten können muss,
enorm – und sie werden tagtäglich größer.
Big Data Analytics, manchen auch als SIEM
(Security Information and Event Management) bekannt, bildet klassisches Kundenverhalten ab. Bei
Abweichungen vom allgemeingültigen Muster und
damit Hinweisen auf eine mögliche Bedrohung
schlägt das System Alarm. Auch hier zeigen sich
die Vorteile, wenn man Sicherheitsexperten von
außen rechtzeitig einbindet. Diese externen Spezialisten sind in der Lage, Datenströme und verhaltensrelevante Ereignisse quer über alle möglichen
Netzwerke und User hinweg zu analysieren.
Gerade was Cloud Computing betrifft, muss
man hier sehr wachsam sein. Viele CIOs erwarten
eine Auslagerung der unternehmenseigenen IT in
die Wolke von bis zu 35 Prozent innerhalb der
nächsten beiden Jahre. Eine solche Entwicklung
bedingt zwangsläufig ein intelligentes Identity and
Authentification Management – und hier gibt es
noch viel zu tun.
unterschiedlichsten Fronten des Cyberkriegs machen Netzkriminellen das
Leben zunehmend schwerer.
Dabei reichen die Maßnahmen von der Verschlüsselungstechnik bis
zum leistungsstarken Security Information and Event Management (SIEM),
das auf Basis von Echtzeitforensik, künstlicher Intelligenz und modernsten
Data-Mining-Technologien vorbeugende Maßnahmen und wirksame
Gegenschritte für Netzattacken findet (siehe Reportage ab Seite 26). Und
die Lösungen treffen augenscheinlich auf einen Markt, der dringend auf sie
gewartet hat.
So sehen IT-Manager Zuwachsraten von 53 Prozent bis 2013 für digitales
Rechtemanagement, Risk & Compliance Tools & Co. Darüber hinaus ist auch
die Standortfrage ein kritischer Erfolgsfaktor. „Denn nicht nur deutsche IT-Experten“, so Reinhard Clemens, „fordern schon lange und zu Recht eine nach
den strengen deutschen Datenschutzrichtlinien umgesetzte Cloud-Lösung.“
Der T-Systems-CEO unterstützt den von der Bundesregierung angestoßenen
„Nationalen Plan zum Schutz kritischer Informationsinfrastrukturen“ auch,
„weil ICT für die Volkswirtschaft so wichtig ist wie Strom, Wasser und Gas“.
Damit sei „Clemens der erste deutsche Topmanager, der sich überhaupt
öffentlich für Patriotismus in der IT-Industrie stark macht“, lobte unlängst das
Magazin „Wirtschaftswoche“ die vom T-Systems-CEO ausgelöste „heftige
Debatte“ über ein europäisches Sicherheitsbetriebssystem.
THOMAS VAN ZÜTPHEN
INTERVIEW: THOMAS VAN ZÜTPHEN
Link:
www.currentanalysis.com
Links:
www.t-systems.de/video/simko
www.t-systems.de/sicherheitsreport-2011
18
erfahren
KONTROVERS
ICT SICHERHEIT
360 GRAD ICT-SICHERHEIT
Cloud Computing, mobiles Arbeiten und Collaboration erhöhen Produktivität und
Wettbewerbsfähigkeit. Unternehmen dürfen sich daher trotz zunehmender
Cyberkriminalität nicht abschotten. Mit einem ganzheitlichen Sicherheitskonzept
schützen sie Infrastruktur, Anwendungen, Daten und ihre Kommunikation
durch einen dreifach gesicherten Korridor – mit kontrolliertem Zugang.
ICT-INFRASTRUKTUREN SCHÜTZEN
Business Protection
Gefahren erkennen und bewerten
Oftmals wissen Unternehmen nicht, dass sie Opfer einer Cyberattacke
waren. Erst wenn sie eindeutige Schäden feststellen, ergreifen sie
Gegenmaßnahmen. Ein Security Information and Event Management
(SIEM) übernimmt die Aufgaben eines „IT-Wachschutzes“ rund um die Uhr. Es findet auf Basis
von Echtzeitforensik, künstlicher Intelligenz und Data-Mining-Technik vorbeugende Maßnahmen und wirksame Gegenschritte für Netzattacken. Es bewertet Risiken aus Sicht der IT,
macht Angriffsversuche transparent und entwickelt Kontrollinstrumente, mit denen sich
Gefahren und Lücken frühzeitig erkennen lassen.
Datenschutz in der Wolke
(ICT Infrastructure Security)
In der Private Cloud profitiert ein Unternehmen von allen Sicherheitsmaßnahmen wie beim klassischen Outsourcing. Da im CloudComputing-Rechenzentrum mehrere Unternehmen IT-Ressourcen von
denselben Rechnern beziehen, muss verbürgt sein, dass niemand an die Informationen
des anderen kommt. Daten und Anwendungen der einzelnen Kunden sind strikt voneinander
getrennt. Zu diesem Zweck erhält jeder Auftraggeber für sein Unternehmen einen
separaten Zugang zum Rechenzentrum. Auch der Datenschutz muss höchsten Anforderungen
entsprechen. Daten in Rechenzentren innerhalb der EU sind durch die europäischen
Datenschutzvorschriften besonders geschützt.
Mobile Devices sichern
Illustrationen: Sascha Bierl
Mobile Datenträger wie Notebook, Smartphone und Tablet-PC sind die
am leichtesten angreifbare Informations- und Kommunikationstechnik. Mobile Mitarbeiter greifen unterwegs auf Unternehmensnetze zu, nutzen
Geschäftsanwendungen oder speichern Dokumente auf ihren mobilen Festplatten. Zunehmend
werden elektronische Identitäten von Smartphones gestohlen, um damit illegal in Firmennetze
einzudringen. Für Smartphones und Tablets muss deshalb eine besondere Sicherheits-Policy
gelten: Schutz vor unberechtigter Inbetriebnahme mittels PIN/Passwort, die automatische
Gerätesperre bei Inaktivität, eine regelmäßige Softwareaktualisierung sowie die Verschlüsselung
sensibler Daten – und im Notfall das Remote-Löschen der Daten. Von Vorteil ist, wenn die
genutzten Daten und Anwendungen nicht auf dem Gerät, sondern ausschließlich im sicheren
Rechenzentrum des eigenen Unternehmens oder eines Cloud-Providers gespeichert werden.
DATE
N
D
UN
KNOW-HOW UND KOMMUNIKATION SICHERN
17
Business Enablement
Gegen Innentäter schützen
(Identity & Access Management)
Fast jedes fünfte Unternehmen hat bereits einen Datenmissbrauch durch
Innentäter entdeckt. Trotzdem unterschätzt die Wirtschaft das Risiko
durch Insider noch immer. Wer aber Zugriff auf unternehmenskritische
Informationen hat, sie ändern oder sogar auslesen darf, könnte aus unterschiedlichen Gründen
Interesse an einem Missbrauch von IT-Systemen und Daten haben. Dagegen können sich
Unternehmen schützen, indem sie das „Need to know“-Prinzip anwenden: Jeder Mitarbeiter
darf nur die Software nutzen und auf die Daten zugreifen, die er für seine Arbeit benötigt.
Solche Rollen und Rechte für Anwendungen und Datenzugriffe lassen sich mit rollenbasierten
Zugangssystemen festlegen.
Grenzüberschreitend zusammenarbeiten
(Collaboration)
Sich gegen die Außenwelt abzuschotten hat mit der heutigen Wirtschaftsrealität wenig zu tun. Produkte entstehen in Teamarbeit, an der sowohl
interne als auch externe Mitarbeiter, Partner und Lieferanten beteiligt sind.
Standort- und unternehmensübergreifende Teams können in besonders geschützten Datenräumen zusammenarbeiten. Zutritt bekommen nur eindeutig identifizierbare Personen, die
sich mit Passwörtern oder biometrischen Zugangskontrollen gegenüber dem System authentifizieren. Zur Speicherung empfehlen sich Secure Data Container, eine Datenverschlüsselung
während der Übertragung und auf den beteiligten Endsystemen.
GESCHÄFTSPROZESSE SICHER MACHEN
AP
PL
T
IKA
Business Integration
IONEN
Risiken managen
(Governance, Risk & Compliance)
Unternehmen müssen Know-how, Daten und Geschäftsprozesse
schützen. Sie sind zur Einhaltung gesetzlicher Vorschriften verpflichtet
und müssen ihre Geschäftsrisiken minimieren. ICT-Sicherheit,
Risikomanagement und Compliance gehören daher zusammen. Bilanzgesetze wie der
US-amerikanische Sarbanes-Oxley Act und SAS70 oder Normen wie ISO 27001 sind
ohne ausreichende ICT-Sicherheit nicht zu erfüllen. Auch branchenspezifische Regelungen
wie MARisk aus dem Finanzsektor oder das Energiewirtschaftsgesetz (EnWG) spielen
eine Rolle. IT-Manager sehen daher Zuwachsraten von 53 Prozent bis 2013 für digitales
Rechtemanagement sowie Risk & Compliance Tools.
Sicherheitsbewusstsein schärfen
(Security Strategy & Awareness)
Firewall, Spamfilter oder Virenschutzprogramme allein greifen zu kurz.
Sicherheitslücken entstehen aus Unkenntnis oder aus mangelndem
Problembewusstsein. Daher beginnt ICT-Sicherheit in den Köpfen.
Unternehmen müssen mit Aufklärungskampagnen und Trainings Management und Mitarbeiter
auf den Kampf gegen Cyberwar und IT-Angriffe einschwören. Alle Mitarbeiter sollten ein Grundverständnis für Informationssicherheit haben und Gefahren einschätzen können. Weiterhin
gilt es, eindeutige Prozesse zu definieren, an die sich jeder zu halten hat. Diese Sicherheitsrichtlinien und -vorgaben sind nur dann wirksam, wenn Unternehmen ihre Mitarbeiter hierfür
motivieren und Fälle von Verstößen konsequent ahnden.
Links:
www.t-systems.de/video/iam
20
erfahren
ALLIANZ
Moskau
Russland
SICHERES SPRACH-DATENNETZWERK AUF MPLS-BASIS
Polen
Warschau
Kiew
Prag
Tschechien
Ukraine
Slowakei
Bratislava
Budapest
Ungarn
Zagreb
Kroatien
Rumänien
Bukarest
Sofia
Bulgarien
Lesen Sie hier …
X wie einer der größten Versicherungskonzerne
weltweit seine heterogene IT-Landschaft
harmonisiert,
X wie die Allianz in Mittel- und Osteuropa
alle Standorte sicher miteinander verbindet,
X wie internationale Tochterunternehmen
trotz unterschiedlicher Datenschutzgesetze
compliancegerecht arbeiten.
21
Ihre Datenverarbeitung muss den
Datenschutzgesetzen in neun
verschiedenen
Ländern gerecht
werden:
Olga Przyborowska,
CIO Thomas
Rüdesheim (Allianz
Group Polen) und
T-Systems Account
Manager Alexander
Schweinberger
(rechts).
NEUN LÄNDER,
EIN SICHERHEITSSTANDARD
E
r hat eine steile Karriere unter den Trojanern hingelegt. Selbst heute,
fünf Jahre nach seinem ersten Auftauchen, gilt ZeuS als eines der gefährlichsten Schadprogramme für Onlinebanking. Anfang Februar
2011 klingelten auch bei der ING Bank Śląski in Polen die Alarmglocken. Eine
bösartige Variante griff als „Zeus in the Mobile“ (Zitmo) die mobile TANLösung des Finanzinstituts an. Er infizierte Smartphones und versuchte Transaktionsnummern für das Onlinebanking abzugreifen. Ein Schock für die
Finanzwelt, denn bis dahin galt das mTAN-Verfahren als sicher.
Thomas Rüdesheim bringen solche Meldungen kaum aus der Ruhe.
Sicherheitsgefahren aus dem Internet gehören für den Ingenieur und Informatiker zum Arbeitsalltag. Als Chief Information Officer der Allianz Polen setzt
er alles daran, die Informations- und Telekommunikationstechnik und die Kundendaten der Allianz vor jeglichen Attacken von innen und außen zu schützen. Gegen den Ruf des „Wilden Ostens“, dass man es in Polen, Tschechien
oder der Slowakei weniger genau nehme mit Sicherheitsfragen, wehrt sich
der CIO vehement: „Das Risiko ist in Mittel- und Osteuropa nicht höher als in
anderen Ländern“, sagt Rüdesheim, der seit 2006 bei der Allianz Polen arbeitet. „Alle Mitgliedsländer der Europäischen Union müssen mit ihren Datenschutzgesetzen die vorgeschriebenen Richtlinien erfüllen, egal ob Spanien,
Ungarn oder Dänemark.“
Alles verboten, was nicht erlaubt ist
So gilt selbstverständlich auch in Polen das in der EU-Richtlinie zum Datenschutz (DSRil) verankerte Prinzip des „Verbots mit Erlaubnisvorbehalt“.
Danach ist alles verboten, was nicht ausdrücklich erlaubt wird. Ein staatlich
bestellter Generalinspekteur ist zwischen Krakau und der Ostsee für den
Schutz von personenbezogenen Daten zuständig. Gemäß Artikel 40 des
polnischen Datenschutzgesetzes besteht Meldepflicht für Unternehmen, die
Daten speichern wollen. Wer personenbezogene Daten ins Ausland übermitteln will, muss nachweisen, dass im Zielland zumindest das gleiche Schutzniveau wie in Polen gewährleistet ist. Trotzdem sind die nationalen Unterschiede in einer derart großen Region enorm. Zum Beispiel im Vertragswesen: In
einigen Ländern dürfen Verträge in Englisch geschlossen werden. In Russland dagegen müssen die Vertragsparteien einen russischen Vertrag nach
russischem Recht in russischer Sprache schließen. Erst dann darf er in die
Übersetzung.
Wie streng das Thema Datenschutz in der Region zwischen Weichsel,
Moldau und Donau gehandhabt wird, kann auch Alexander Schweinberger
bestätigen. „Wir haben einige Vor-Ort-Services in der Zentrale der Allianz in
Warschau übernommen“, erzählt der bei T-Systems für den Kunden verantwortliche Account Manager.
„Im Gebäude gibt es neben dem Versicherungsgeschäft einen Flur, in
dem auch Anwendungen für andere Geschäftsbereiche betrieben werden.
Die staatliche Regulierungsbehörde hat das Outsourcing für diesen Bereich
aber nicht gestattet. Daher mussten wir den Flur komplett aus dem Vertrag
rausnehmen.“ Für die Gebäudebereiche, in denen ausschließlich Versicherungs-IT zum Einsatz kam, durfte T-Systems dagegen die Dienstleistungen
übernehmen.
Das gelegentlich tückische, aber wichtige Klein-Klein der legislativen Vorgaben kennt Thomas Rüdesheim nur zu gut. Gemeinsam mit T-Systems und
seinem Team von Sicherheitsexperten hat er heute ein Daten- und TelefonBest Practice 04 l 2011
Fotos: Bogdan Krezel/Visavis/Laif, ddp images/dapd, istockphoto.com
Die Allianz SE, einer der größten internationalen Assekuranzkonzerne und
Finanzdienstleister der Welt, setzt für ihre Unternehmen in Mittel- und Osteuropa
auf einheitliche Standards. Dabei sichert das Unternehmen sein
länderübergreifendes Daten- und Telefonnetz mit neuester Security-Technologie.
22
erfahren
ALLIANZ
netz auf Basis des Internetprotokolls aufgesetzt, das alle Allianz-Standorte in
neun Ländern Mittel- und Osteuropas miteinander verbindet. „Doch bis dahin“, erinnert sich der Allianz-CIO, „war es ein langer Weg.“ Zunächst hatten
die eigenständig agierenden Unternehmen der Allianz Gruppe mit ihrer historischen Entwicklung zu kämpfen. Als eines der ersten großen internationalen Finanzinstitute hatte die Allianz im Jahr 1989 eine Tochtergesellschaft in
Mittel- und Osteuropa gegründet. In Ungarn übernahm der Versicherer die
staatlich geführte Assekuranzgesellschaft Hungária Biztosító. Danach ging
es Schlag auf Schlag. Russland, Tschechien, Slowakei oder Polen: Heute arbeiten mehr als 25 000 Mitarbeiter in 25 Tochtergesellschaften und elf Märkten bei dem größten ausländischen Versicherer der Region.
Homogenisieren und standardisieren
In den ersten Jahren galt es für die Allianz, Märkte aufzubauen und sich zu
etablieren. Da jede Landesgesellschaft ihr Geschäft selbst verantwortete,
blieb zunächst kaum Zeit, sich über länderübergreifende Kooperationen
Gedanken zu machen. „Entsprechend heterogen war auch die IT aufgesetzt.
Nicht nur im Vergleich zwischen den Ländern, sondern auch innerhalb der
Länder selbst“, blickt Rüdesheim auf die Anfangsjahre zurück. Er stieß auf unterschiedlichste Sicherheitslösungen. „Besonders nach Übernahmen gibt es
immer für einen gewissen Zeitraum getrennte IT-Landschaften, die die jeweiligen IT-Teams dann integrieren und homogenisieren müssen. An Standardisierung über alle Länder hinweg war damals noch nicht zu denken.“
In der Slowakei hatte die Allianz auf eine dort gebaute und gehostete
Sprachlösung gesetzt, während alle anderen Länder die IP-Lösung eines internationalen Anbieters nutzen wollten. Die Herausforderung war nun, diese
selbst gebaute, nicht standardisierte Lösung der heutigen Telekom-Tochter
(seit 2006) zu integrieren, was die Anforderungen an die Sicherheit erhöht.
Inzwischen hat sich das Blatt gewendet. Die Zusammenarbeit zwischen den
Ländern kommt allen Tochtergesellschaften zugute. „Wir tauschen regelmä-
ßig unsere Best Practices aus, was sich insbesondere in unserem einheitlichen, standardisierten Sprach-Daten-Netzwerk zeigt, zu Effektivitätssteigerung und so unmittelbar zu Einsparungen führt.“
Eine Kommunikationsplattform für die ganze Region
In Polen hat die Allianz inzwischen einen IT Security Officer mit einem eigenen Expertenteam in die IT integriert. Es übernimmt in jedem Projekt von Anfang an die Rolle eines Consulting-Partners. Dies garantiert, dass jedes Projekt und jede eingekaufte Lösung von Anfang an die festgelegten SecurityStandards einhält. „Wir sind dann sofort gesetzeskonform und erleben in einem späten Projektstatus keine bösen Überraschungen mehr, die wir
ansonsten mit viel Aufwand und Geld nachträglich anpassen müssten“, sagt
der CIO der Allianz Polen. Für länderübergreifende Projekte sei es wichtig, mit
T-Systems einen Provider zu haben, der alle Standorte abdeckt und die lokalen Besonderheiten kenne, sagt Rüdesheim: „So lassen sich Services leichter länderübergreifend standardisieren. Machen Sie das mit verschiedenen
Providern, haben Sie mehr Unschärfen drin. Wir haben heute in unserem Netz
einheitliche Standards bezüglich der Servicelevels, der Schnittstellen und der
gesamten IT-Sicherheit. Auch wenn Sie neue Anwendungen in mehreren Ländern einführen, geht das über ein Netzwerk und einen Provider reibungslos.“
Nachdem für Mittel- und Osteuropa das sichere Daten- und Sprachnetz
steht, arbeiten die IT-Verantwortlichen der Länder aktuell an weiteren Standardisierungs- und Homogenisierungsprojekten. „Wir verfügen nun über eine
regionalisierte, standardisierte Security-Lösung und haben eine einheitliche
Kommunikationsplattform für die ganze Region. Dies ist für uns eine hervorragende Basis, die Komplexität der IT in anderen Bereichen zu reduzieren“,
freut sich Rüdesheim auf die nächsten Schritte. Zusammen mit seinen ITKollegen aus den anderen Landesgesellschaften im Osten Europas will er
nun an die ungeheure Software- und Hardware-Vielfalt gehen.
ROGER HOMRICH
Links:
www.allianz.de
www.t-systems.de/video/security-quality
„Wir verfügen über eine
regionalisierte, standardisierte Security-Lösung
und haben eine einheitliche
Kommunikationsplattform für die ganze
Region. Dies ist für uns eine
hervorragende Basis, die Komplexität der IT in
anderen Bereichen zu reduzieren.“
Thomas Rüdesheim,
CIO Allianz Group Polen
Fotos: Bogdan Krezel/Visavis/Laif, picture alliance
23
INTERVIEW
„FÜR SICHERHEIT ZIEHEN WIR ALLE REGISTER“
Der CIO der Allianz Group Polen über IT-Security als Wettbewerbsfaktor, compliancerelevante
Gesetzesunterschiede in West- und Osteuropa und Standardisierung zur Steigerung der Kosteneffizienz.
Herr Rüdesheim, werden die Themen Datenschutz und IT-Sicherheit in
Mittel- und Osteuropa angemessen ernst genommen?
Definitiv! In den EU-Ländern sind die Gesetze inzwischen angeglichen, in
manchen Teilen Osteuropas strenger als in einigen westeuropäischen Staaten. Stark ausgeprägt ist der Schutz persönlicher Daten in Polen. Deren Nutzung ist meines Erachtens sogar stärker eingeschränkt als in Deutschland.
Ist es für Sie möglich, zentrale Rechenzentren im Ausland aufzubauen?
Innerhalb der EU ist die Verlagerung von Daten nicht mehr so problematisch.
Für Polen gilt: Das jeweilige Land muss mindestens dieselben Sicherheitsbestimmungen haben wie Polen selbst. Unterschiede bestehen bei der Anmeldung von Datenspeicherung im Ausland. In einigen Ländern müssen Sie
den Regulator nur informieren und eine Einspruchsfrist abwarten. Ist diese
verstrichen, dürfen Sie die Daten woanders speichern. In anderen Ländern
brauchen Sie eine explizite schriftliche Genehmigung. Speziell in der Versicherungsbranche haben die Länder ein relativ angeglichenes Regelwerk. Im
Banking sieht es dagegen komplett anders aus. Hier unterscheiden sich die
Vorschriften sehr stark. Es gibt Länder, in denen es beispielsweise kaum möglich ist, sein Rechenzentrum in einem anderen Land zu betreiben oder sogar
an einen externen Dienstleister zu geben.
Warum spielt bei der Allianz Sicherheit eine entscheidende Rolle?
Sicherheit ist für jedes Finanzinstitut entscheidend. Dazu gehört auch das
Thema Verfügbarkeit und Business Continuity Management. Wir ziehen hierfür alle Register. So arbeiten wir auch in Polen ganz eng mit unserer zentra-
len IT in München zusammen. Gemeinsam legen wir Standards fest und
geben damit dem gesamten Konzern ein Regelwerk vor. Diese Standards passen wir entsprechend an lokale Gesetzgebungen an.
Welchen IT-Risiken ist ein Unternehmen wie die Allianz ausgesetzt?
Uns geht es nicht anders als unseren Kunden. Datenverlust ist ein wachsendes Risiko, da Daten einen substanziellen Wert für ein Unternehmen
darstellen. Wir müssen die Wertigkeit von Daten innerhalb der
Wertschöpfungskette untersuchen. Die Daten, mit denen besondere Risiken verbunden sind, müssen wir mit allen zur Verfügung stehenden Mitteln schützen. Bei unseren Industriekunden untersuchen wir etwa, wie lange sie ohne funktionierendes IT-System weiterarbeiten könnten. Und auch
wir stellen uns diese Frage.
IT-Sicherheit kostet aber auch viel Geld. Mit wie viel Zurückhaltung
sollte man Investitionen planen?
IT-Sicherheit darf nicht nur als Kostenverursacher betrachtet werden. Sie stellt
einen Wettbewerbsfaktor dar. Zu einer guten IT-Infrastruktur gehören daher
drei Dinge: Qualität, Sicherheit und Kosteneffizienz. Erreicht werden diese
durch Betriebsgröße sowie durch weitgehende Standardisierung und Automatisierung. Anders gesagt, wir müssen die IT-Infrastruktur weiter industrialisieren, auch für die Allianz-Gesellschaften in anderen Ländern. Dadurch
können wir insgesamt die Wettbewerbsfähigkeit der Allianz verbessern.
INTERVIEW: ROGER HOMRICH
24
DAS NEUE VIRUS
Beim Stichwort „Sicherheit“ denkt Michael Fertik nicht an spektakuläre Hackerangriffe,
sondern den steten Tropfen aus vielen kleinen Lecks, die Ruf und
Ansehen einer Marke unterhöhlen. Spekulationen und Gerüchte online sind für den
Webunternehmer eine der großen Gefahren der vernetzten Wirtschaft.
VITA
Foto: ddp images/AP
Dr. Michael Fertik (33) ist
Gründer und CEO von
Reputation.com, einem der
ersten Anbieter von sogenanntem Online Reputation
Management. Der gebürtige
New Yorker studierte Jura an der
Universität Harvard. Dort
promovierte er auch, bevor er
sich 2005 als Unternehmer
selbständig machte und bislang
25 Millionen Dollar Wagniskapital für seine Firma einwarb.
Er ist Mitglied des globalen
Themenrats des Weltwirtschaftsforums und Autor des
Leitfadens „Wild West 2.0“.
erfahren
25
VORDENKER
ichael Fertik verbringt einen Großteil seiner Zeit damit, ande- entwickeln. Zudem glaubt Fertik, dass weder Technologie noch gesellschaftre Spitzenmanager und CEOs von China bis zur Schweiz vor liche Normen oder die Gesetzgebung mit Gerüchten und Spekulationen im
M
den Fallstricken des Internets zu warnen. Der 33-jährige Netz bislang Schritt halten. „Das ist umso beängstigender, wenn man sich
Gründer der Firma Reputation.com meint damit keineswegs überlegt, dass rund 70 Prozent des Marktwerts vom Ansehen einer Marke abViren, Hackerangriffe und Datendiebstahl. Ihn treibt vielmehr hängen“, zitiert Fertik eine Statistik des Instituts Economist Intelligence Unit.
die Sorge um, wie ahnungslos oder leichtsinnig viele Wissensarbeiter mit senIm Social-Media-Zeitalter ist das Beobachten des Markenwerts ein weitsiblen Informationen und dem guten Ruf ihres Unternehmens, ihrer Marke gehend automatisierter Prozess, bei dem Software Datenströme verfolgt und
oder der eigenen Person umgehen.
Dashboards erstellt. Sie fordert Menschen erst zum Handeln auf, wenn ein
„Wenn der CEO plötzlich bei LinkedIn oder Xing neue Kontakte eingeht, bestimmter Schwellenwert überschritten wird, der sich aus vielen, sich ständig
von einem unerwarteten Ort tweetet oder meine leitenden Angestellten ändernden Faktoren berechnet: Einfluss und Reichweite eines Twitter-Nutzers
Schnappschüsse aus Übersee auf Facebook stellen – das sind alles Sicher- im Zeitverlauf, Aktivitäten der Konkurrenz oder Wochentag und Uhrzeit. „Wir
heitslecks, die einem Beobachter oder der Konkurrenz verhaben uns in den vergangenen Jahren wie ein Schwerkranraten können, welche Übernahmekandidaten besucht
ker verhalten. Erst das Problem geleugnet, dann stellten
werden oder wohin die Produktstrategie der Firma
sich Unverständnis und Wut ein. Schließlich Fatalismus,
„Wer als Unternehgeht“, erklärt Fertik.
dass man nichts ändern könne. Jetzt haben Unternehmen
Dass sich immer mehr Unternehmen über die
erkennt, dass es durchaus Heilungschancen gibt.“
mer nicht weiß,
volle Bandbreite der Risiken und Nebenwirkungen
Fertik empfiehlt Managern, drei konkrete Schritte im
was die Tochter
von Social Media und des vernetzten Arbeitens bewusst
Voraus zu planen, lange bevor sie ein maßgeschneiderwerden, beschert Fertiks fünf Jahre altem Unternehmen
tes Monitoring- und Alarmsystem scharf schalten, das sodes eigenen
in Silicon Valley jede Menge Kunden. So sind inzwiziale Netze tagtäglich durchkämmt, wie es früher der
Produktmanagers
schen ein Drittel seiner Klientel Großunternehmen, TenPressespiegel tat.
denz steigend. Reputation.com hat sich darauf speziaauf Facebook
Um eine Kaperung der eigenen Marke zu verhindern,
lisiert, das Image von Individuen oder Rechtspersonen
schreibt, sitzt auf
sollte ein Unternehmen möglichst alle Kombinationen
online zu verfolgen, zu analysieren und notfalls zu
seiner
Website aufkaufen, egal wie absurd sie klingen
reparieren, indem es Einträge aus Hunderten von Dateneiner Zeitbombe.“
mögen – etwa „FirmaABCistdasLetzte.com“ oder „Killbanken und beliebig vielen Webseiten korrigiert und
Dr. Michael Fertik,
FirmaABC.com“. Dazu gehören auch Domains mit den
entfernt. Diese Vorgänge sind aufgrund der schieren
CEO Reputation.com
Produkten sowie den Namen der Spitzenmanager eines
Menge der in Umlauf befindlichen Informationen weitUnternehmens, die Kritiker sonst anschwärzen könnten.
gehend automatisiert worden, sodass ein Mensch überfordert wäre.
Das gesamte Management einschließlich seiner Familienmitglieder sollDas Tempo hat selbst Fertik überrascht. Noch 2010 veröffentlichte er ein
te sich einer Prüfung seiner Onlinepräsenz und seiner Mitteilsamkeit auf
vielbeachtetes Buch namens „Wild West 2.0“, das als Überlebensleitfaden
für Verbraucher wie Manager gedacht war. „Vor kurzem konnte man seinen gu- Social-Media-Plattformen unterziehen. Das hört nicht beim Blog des CEOs
ten Ruf noch allein verfolgen und reparieren“, sagt Fertik. Nur ein Jahr später auf, sondern sollte auch die Partner, Eheleute und Kinder mit einbeziehen,
kann er die Hilfe zur Selbsthilfe nicht mehr guten Gewissens empfehlen. Atta- sagt Fertik: „Wer nicht weiß, was die Tochter des Produktmanagers auf Facecken gegen Marken und Manager sind für ihn die moderne Ausprägung von book schreibt, sitzt auf einer Zeitbombe.“
Computerviren, die ein System in kurzer Zeit lahmlegen können. „Schließlich
In einer Welt mit 800 Millionen Facebook-Mitgliedern und 150 Millionen
schreibt auch niemand seine Antivirus-Software selbst. Wir mögen die vielen
Twitter-Nutzern muss ein Unternehmen kontinuierlich daran arbeiten,
kleinen Lecks und Flecken als trivial abtun. Aber sie stehen in nichts den täglichen Angriffen auf die Hardware und Software eines Unternehmens nach. Sie welche Konversationen über seine Marke und Manager bei einer Suche prominent erscheinen. „Man muss lange im Voraus proaktiv denken. Das geht
werden nur anders wahrgenommen, weil sie nicht auf der Titelseite landen.“
Die Besorgnis des Harvard-Juristen, der unter anderem beim globalen weit darüber hinaus, negative Inhalten zu entfernen, wie traditionelle PublicThemenrat des Weltwirtschaftsforums für Internetsicherheit verantwortlich ist, Relations-Experten empfehlen“, erklärt Fertik. So kann ein Unternehmen mit
hat mehrere Gründe. Da ist einmal die ausufernde Menge an Daten über Per- Werkzeugen wie Suchmaschinen-Optimierung gute Nachrichten über sich
sonen, Marken und Firmen, die online eine Art Eigenleben entwickeln, wenn priorisieren – als eine Police gegen künftige Krisen.
sie von Algorithmen katalogisiert, neu kombiniert und wie von Geisterhand
weiterverbreitet werden. Experten veranschlagen die Menge jährlich erzeug- Wenn sich auch kleinste Details Jahre später noch mit einer einfachen
ter und gespeicherter Daten auf 1,8 Zettabyte – was umgerechnet der Spei- Suchabfrage wieder zutage fördern lassen, sollte man meinen, dass Daten
und Fakten im Netz ein Verfallsdatum benötigen oder jemand ihre Löcherkapazität von rund 58 Milliarden mittelgroßen iPads entspricht.
schung verlangen darf, wie es beispielsweise in der EU diskutiert wird.
Im eigenen Interesse Informationsfluss bremsen
Doch für Fertik ist das ein rein philosophischer Diskurs, auf den Manager
nicht zu viel Zeit verschwenden sollten. „Negative Fakten an sich sind kein
„Das Internet ist nicht nur ein wunderbares Werkzeug, sondern gleichzeitig Grund zur Panik. Es kommt immer auf den Kontext an“, gibt er zu bedeneine aus dem Ruder gelaufene Maschine“, sagt Fertik. „Generell glauben al- ken. „Wenn Informationen an einem obskuren Ort verborgen sind oder von
le Teilnehmer einer Marktwirtschaft, dass man Barrieren entfernen und alles positiven Dingen an den Rand gedrängt werden, sodass sie nicht mehr auf
immer effizienter machen muss, insbesondere den Informationsfluss. Aber den ersten paar Seiten der Google-Suche auftauchen, dann reicht das
ich sehe das nuancierter. Viele Informationen müssen nicht so reibungslos völlig.“ Das ist die wohldosierte Prise Sand im Getriebe der hypereffizienwie möglich fließen, sondern wir sollten darüber nachdenken, mit Technik ten Informationsgesellschaft.
STEFFAN HEUER
und menschlichen Entscheidungen gezielt Sand ins Getriebe der Informationsgesellschaft zu streuen“, sagt Fertik.
So können Tweets vor der Bekanntgabe der Quartalszahlen oder einem
geplanten Börsengang rechtliche Folgen haben oder die wohlmeinenden Links: www.reputation.com
www.t-systems.de/markenwelt
E-Mails eines Vorstands an einen Kunden plötzlich ein ungeahntes Eigenleben
1.
2.
3.
26
erfahren
REPORTAGE
n Deutschland und
vo
n
rte
pe
-Ex
ity
ur
ec
s-S
tem
ys
T-S
en
ier
Täglich koordin
aus dem Web 2.0.
n
ke
tac
At
e
eit
ltw
we
n
ge
ge
n
me
ah
ßn
Ungarn aus die Ma
r Emergency
ute
mp
Co
s
da
tzt
hü
sc
ge
eu
rkz
we
se
aly
Mithilfe modernster An
davor, von Eindringlingen
en
nd
Ku
r
ine
se
IT
die
T)
ER
(C
am
Te
se
Respon
braucht zu werden.
ss
mi
ke
ec
Zw
e
ihr
für
d
un
n
hle
sto
be
lahmgelegt,
DENKEN UND
HANDELN WIE
EIN ANGREIFER
27
Fotos: Natalie Bothur
M
T-Systems
gency Response Team (CERT) von
Hochkonzentrier t. Im Computer Emer
en
Sucharkiewicz bis zu mehrere Stund
durchforstet der Müns teraner Jakub
nern wie „Beast“, „Flux Bluster“ & Co.
Logdaten auf der Suche nach Troja
11.57 Uhr
ünster/Westfalen, 1. Oktober,
Bis kurz vor Mittag ist es für Jakub Sucharkiewicz ein ganz
normaler Freitag: mit Kaffee auf dem Schreibtisch und in den
Augen die Vorfreude aufs Wochenende – als das Telefon klingelt. Am anderen Ende der Leitung informiert den 27-jährigen T-Systems-Informatiker
ein Kollege aus dem konzerneigenen Rechenzentrum über ein „Vorkommnis auf dem Server eines Großkunden“. Es gehe um einen Rechner für einen bayerischen IT-Dienstleister. Statt planmäßig dessen Kundendaten zu verarbeiten, versende er Millionen von Mails mit Betreffzeilen wie „You have a private message from Christina“ oder „Check out my
new photos“ oder „I’m back in town – Natalie“. Der Angreifer melde sich
über eine verschlüsselte SSH-Verbindung aus Rumänien, seine Mail-Absenderadressen seien sicherlich gefälscht. „Wir haben den Trojaner gekillt und brauchen eine forensische Analyse von dir“, bittet der Gesprächspartner, den es besonders interessiert, „durch welchen Zugang
der Täter eingedrungen ist“. Sucharkiewicz verspricht: „Mache mich sofort an die Arbeit.“
Sein T-Shirt mit der Aufschrift: „WE COME IN PEACE 27 C3“ weist ihn
als Teilnehmer der 27. Konferenz des Chaos Computer Clubs aus. Dem
Stil der Hackerszene entsprechend, kann Sucharkiewicz dem digitalen
Kräftemessen durchaus eine sportliche Seite abgewinnen. „Und genau
so muss es sein“, sagt René Reutter, Abteilungsleiter ICT-Sicherheit bei
T-Systems in Darmstadt. „Denn wer seine ICT schützen will, muss wie ein
Angreifer denken und handeln.“
„Joda“, „Yeti“ oder „Platon“ etwa sind solche Angreifer, mit denen es
Reutters Mitarbeiter Sucharkiewicz zuletzt zu tun hatte. Spitznamen, die
er seinen Gegnern gibt, vor allem wenn sich deren Angriffe über lange Zeit
hinziehen oder er das Gefühl hat: „Den kenn’ ich!“ Ob rumplige „Bruteforce“-Attacken oder unauffällige „Targeted Attacks“, an der Handschrift
können Security-Incident-Handler wie Sucharkiewicz schon erkennen, mit
wem sie es zu tun haben. Geht der Angreifer nach der Holzhammermethode vor, mit „lautem Getöse“ – im Klartext: vielen Logs, die er erzeugt – beim
Versuch, die Passwörter seiner Opfer zu knacken, oder versucht er geräuschlos Trojaner in ein System zu schleusen – für den „Vorfall-Koordinator“ Sucharkiewicz sind die Täter „in erster Linie kriminell. Aber sie sind
nicht selten auch Dienstleister und arbeiten nach einem klaren Geschäftsmodell. Und uns misst man daran, wie schnell wir darauf reagieren und
das Problem nachhaltig lösen.“
28
erfahren
REPORTAGE
Die Probleme heißen zum Beispiel „Rbot“ oder „Beast“, „Flux“, „MiniMO“
oder „Bluster“, und mit ihnen führen Hacker gern ihre erste Angriffswelle.
Die Trojaner im Dienst zumeist gut organisierter Angreifer attackieren mit
ausgeklügelter Schadsoftware ausgesuchte Computersysteme in Unternehmen, Behörden und Regierungsstellen. „Ihr Auto muss zur Inspektion“
etwa ist eine Betreffzeile, auf die hin nicht wenige Adressaten eine mutmaßliche Mail ihrer Vertragswerkstatt gutgläubig öffnen – und im selben
Moment haben sie ihren Rechner infiziert. Mit weitreichenden Folgen für
die vernetzte Gesellschaft: „Die Dunkelziffer von kritischen Security Incidents ist hoch und steigt stetig. Viele Unternehmen melden diese Angriffe
nicht, weil sie einen Reputationsverlust fürchten“, erläutert René Reutter.
In einem virtuellen „War Room“ koordinieren über Deutschland verteilte
T-Systems-Strategen die Aktivitäten gegen komplexe Cyberangriffe. Darüber hinaus gibt es ein großes Security Operation Center (SOC) in Budapest, das ICT-Systeme rund um die Uhr überwacht.
Denn im Cyberkrieg um die Macht über die Rechner kann jeder zum
Opfer werden. „Die Bedrohungssituation des Jahres 2011 ist geprägt von
Chaos und Veränderung“, verweisen etwa die US-Sicherheitsexperten der
McAfee Labs auf spektakuläre Angriffe sogenannter Hacktivisten. „Eines
ist jetzt schon deutlich: Unternehmen jeder Größe sind erheblich verwundbarer, als man hätte glauben mögen“, lautet das Fazit der Forscher in
Diensten des Chipriesen Intel.
Diese schmerzliche Erfahrung machte Ende 2010 der Zahlungsdienstleister Paypal, der sich sicher wähnte vor sogenannten Denialof-Service-Attacken. „Das Unternehmen musste erfahren, dass man es
‚dossen‘ kann“, verfällt Sucharkiewicz in den Jargon der Hackerszene.
Auch der amerikanische IT-Sicherheitsdienstleister EMC/RSA war betroffen und musste nach einer erfolgreichen Attacke rund 40 Millionen seiner
Einwahlschlüssel austauschen, von Kennern „Tamagochi“ genannt.
12.48
Uhr Nun hat es also das bayerische IT-Unternehmen
getroffen. Eine Überprüfung der betroffenen Festplatte zeigt, dass der Angreifer den E-Mail-Server eines Kunden der Firma gehackt hatte. Von dort
aus hatte er sich bereits zwei Wochen zuvor auf dem Server eingeloggt
und einen Trojaner installiert. Der blieb – vom Angreifer nicht aktiviert –
Kunden die
Immer erreichbar. 24 Stunden an sieben Tagen der Woche können T-SystemsIncident-Handler des ICT-Dienstleisters um Unterstützung bitten.
erst einmal einige Tage unauffällig. „Die Täter haben Zeitpläne, nach denen sie ihre Mailaussendungen takten“, erläutert der T-Systems-Experte
das Geschäftsgebaren des Kontrahenten. „Sie legen sich einen Vorrat an
gehackten Servern an, um jederzeit einen Auftrag ausführen zu können.“
13.57
Uhr Ein näherer Blick auf die Datenströme zeigt,
dass der Eindringling Benutzername und Kennwort auf Anhieb korrekt
eingab. „Er hatte keinen Fehlversuch, dabei war das achtstellige Passwort kryptisch und zufällig generiert“, analysiert Sucharkiewicz. „Das ist
nur möglich, wenn ihm die Daten bekannt waren.“ Wie eine Recherche
im Netz zeigt, ist der gehackte Mailserver mitsamt funktionierender
Benutzername-Passwort-Kombination in der Szene bereits publik. Seine Zugangsdaten hatte der Hacker in einem der einschlägigen Spammer-Foren „free for all“ gestellt. Fortan diente der schutzlose Rechner
tagelang gleich mehreren Angreifern als Spamschleuder, über die millionenfach Mails verschickt wurden, bis der Rechner verstopfte. Dabei
sind es zumeist illegale Firmen wie etwa Anbieter von gefälschten
Pharmaprodukten, die über passwortgeschützte Online-Stores, quasi die
Schwarzmärkte der Spammer-Szene, Adresspakete und Spam-Versandleistungen kaufen. Häufig steckt das Ziel dahinter, Falsifikate von
Markenprodukten oder falsche Versprechungen zu verkaufen oder beides. Placebos von Viagra zum Beispiel. Wo Daten als Hökerware verschachert werden, so Sucharkiewicz, „gibt es 10 000 Adressen schon
für zwei Euro“.
gekillt ist, hat der Täter mindestens sechsmal vergeblich versucht, sich
unter gleichem Namen und Passwort einzuloggen“, sagt der Experte.
Und zwar in völlig unregelmäßigen Abständen. „Das spricht dafür, dass
er wirklich manuell vorgeht.“
15.23
Uhr Während er zum Kaffee greift, registriert
Sucharkiewicz neuerliche erfolglose Attacken. „Seitdem der Trojaner
29
Überraschenderweise sind steigende Angriffszahlen für René Reutter
nicht nur ein Grund zur Besorgnis. „Die Anzahl steigt exponentiell, dies
liegt aber auch daran, dass viele Firmen mehr in Sicherheit und Datenschutz investieren und diese Angriffe nun überhaupt erst erkennen“, erläutert er. Auf die Herausforderungen reagiert T-Systems mit innovativen
Früherkennungsmethoden. Echtzeitforensik, Künstliche Intelligenz und
modernste Data-Mining-Techniken strukturieren und korrelieren Daten
und spielen für die Früherkennung von Angriffen durch die SIEM-Systeme
(Security Information & Event Management) eine entscheidende Rolle.
Ähnlich wie in der Klimaforschung können Reutter, Sucharkiewicz und ihre Kollegen so Lagebilder modellieren, um auch neue Angriffe zu erkennen und Abwehrstrategien zu entwickeln.
16.56
Uhr Mit Sicherheitstools wie „Rootkit Hunter“ überprüft Sucharkiewicz, ob der Hacker Hintertüren angelegt hat, durch die er
bei Bedarf seine Spamattacke wiederholen könnte. Doch die Suchprogramme finden zunächst nichts.
17.30 Uhr
Zeit für eine Telefonkonferenz. Zugeschaltet sind
neben dem IT-Chef des betroffenen Unternehmens auch Mitarbeiter aus
dem Rechenzentrum. Gleich zu Beginn der Konferenz erkundigt sich der
Kunde nach der Schwachstelle: „Ich will genau wissen, wie die Passwörter nach außen gelangen konnten!“
Ruhig und sachlich erläutert Sucharkiewicz den Rechercheweg und trägt
seine vorläufigen Ergebnisse vor. Demnach habe der Täter nicht versucht, Daten zu entwenden. Hintertüren habe er augenscheinlich nicht hinterlassen.
Vollständige Sicherheit gebe es allerdings erst, nachdem er die komplette
300-Gigabyte-Festplatte forensisch untersucht habe. Das Security Operation
Center in Budapest wird über das Wochenende kontrollieren, ob der Rechner
nun normal arbeitet. Andernfalls werden die Kollegen die Rufbereitschaft des
deutschen T-Systems-CERT alarmieren, sagt Sucharkiewicz. „Also mich.“
Weltweit reicht das Netz, in dem die europäischen
CERT-Units der Telekom-Tochter Attacken auf die Daten der
T-Systems-Kunden erfolgreich abwehren können.
30
Bei Großangriffen
oder hartnäckigen
Attacken arbeiten
die „VorfallKoordinatoren“ des
CERT vielfach im
Team mit mehreren
Cyber-Abwehrspezialisten.
Der freitägliche Angriff ist aus Sicht der Beteiligten glimpflich abgegangen.
So eine Attacke komme durchschnittlich einmal wöchentlich vor, sagt der
Experte, denn eigentlich seien Spams ein Auslaufmodell. Weltweit ging ihre Zahl seit Juli 2010 nach einer Hochrechnung von McAfee von täglich
fünf Billionen auf rund zwei Billionen zurück. Für Deutschland errechnen
die Forscher einen Rückgang von etwa 350 Millionen auf unter 100 Millionen. Hingegen nimmt die Zahl der vorhandenen Malware monatlich um
fast zwei Millionen Schadprogramme zu, insbesondere Schadsoftware, die
auf ganz konkrete Ziele in Firmen individuell zugeschnitten wird.
18.28
Uhr Noch ein letzter Scanlauf, und dann will der
Münsteraner nach Hause fahren. Kein Vergleich zum brutalen Angriff auf
die IT eines Großkonzerns vor einem Jahr, der das Team zwei Monate lang
in Atem hielt. In vier Wellen rollte damals die „Targeted Attack“ an – und
zwar stets zwischen drei Uhr nachts und elf Uhr vormittags. „Zur besten
Bürozeit in Fernost“, grinst der Mann im schwarz-grünen T-Shirt. Denn am
identifizierten Ausgangspunkt der Attacke, sechs Zeitzonen östlich vom
westfälischen Münster, liefen die Angriffe zwischen 9 und 17 Uhr.
19.03
Uhr In dem Moment klingelt wiederum das Telefon.
Am Apparat ein Anrufer aus der IT eines Großkunden in Benelux. „Hi
there“, begrüßt er Sucharkiewicz, während der die Kopie der Festplatte
startet. „Erinnerst du dich noch an unseren Hackerfall aus dem vergangenen Jahr ? Uns sind heute verdächtige Zugriffsversuche aufgefallen. Die
per Mail eingeschleuste Malware wird zu Spionagezwecken eingesetzt
und wurde von unseren Virenscannern und Spamfiltern nicht erkannt.“
Sind es wieder die Angreifer aus Fernost? Sucharkiewicz seufzt und macht
es sich noch einmal auf seinem Drehstuhl bequem.
MATT SLOAN
Links:
www.t-systems.de/video/cyberwar
Fotos: Natalie Bothur, T-Systems
Erfolgreiche Verführung
Für die proaktive Abwehr von Cyberattacken nutzt
die Telekom innovative Auswertungssysteme, die neben
SIEM-Systemen auch „Honeypots“ und „E-Mail-Köderboxen“ umfassen. So kommen die Sicherheitsspezialisten
neuen Angriffsmethoden und Werkzeugen schneller
auf die Spur. Unter den mehreren hunderttausend Angriffen
allein auf die Telekom-Honeypots identifizieren die
Experten so monatlich Tausende neuer Rootkits, Würmer,
Viren und Trojaner.
Update im War Room. Täglich koordiniere
n die Spezialisten des internationalen CERT
Incidents, um die Daten, Anwendungen
-Teams ihre Maßnahmen gegen Security
und Server ihrer weltweiten Unternehm
enskunden zu schüt zen.
erfahren
31
REPORTAGE
INTERVIEW
„IMMER EINEN
SCHRITT SCHNELLER“
René Reutter, Abteilungsleiter ICT-Sicherheit bei T-Systems, verantwortet unter anderem das Situation Center, die fachliche Steuerung
von Experten des Security Operation Center sowie das Computer
Emergency Response Team. Im Verbund koordiniert die Eingreiftruppe die Reaktionen auf Eindringlinge in den ICT-Architekturen
von Kreditinstituten, Fondsgesellschaften, Autobauern, Logistikern
und anderen Auftraggebern. Die Bandbreite reicht vom traditionellen Mittelständler bis hin zum internationalen Konzern.
Wie viel neue Schadsoftware bedroht täglich
die IT der Unternehmen?
Hacker sind daran interessiert, noch unbekannte
Schwachstellen in Software, Systemen und Geräten herauszufinden. Diese Schwachstellen werden
dann als Entry Point verwendet, um in ein System
einzudringen, es zu kompromittieren oder Downtime zu verursachen. Täglich beobachten wir
50 000 bis 60 000 Varianten von Schadsoftware.
Die Tendenz ist stark steigend, und das Wachstum
erfolgt sprunghaft und nicht linear. Besonders auffällig ist, dass neuartige Schadprogramme immer
häufiger ganz speziell auf Unternehmen und Personen zugeschnitten sind, um digitale Datenspionage zu betreiben.
Wie reagiert die Sicherheitsorganisation von
T-Systems auf die Bedrohung?
In der Produktion von T-Systems arbeiten mehr als
600 Sicherheitsexperten nach dem Grundsatz
„Security & Privacy by Design“. Das bedeutet, dass
Sicherheitslösungen architektonisch so konzipiert
werden, dass bei einer Änderung der Security Policy nicht sofort ein neues Produkt gekauft werden
muss. Wir suchen daher unsere Lösungen so aus,
dass sie möglichst flexibel sind und Kundenanforderungen nach der Prämisse „Technik folgt der
Security Policy“ erfüllen. Dies hat den Vorteil, dass
wir ein bedarfsgerechtes Sicherheitsniveau anbieten können und dennoch einen hohen Standardisierungsgrad haben. Zusätzlich werden bekannte
Schwachstellen systematisch erfasst und bewertet, um dann weitere bedarfsgerechte Maßnahmen
für den jeweiligen Bereich abzuleiten. Ein qualitativ hochwertiges Asset Management ist daher erfolgskritisch. Sicherheitsexperten nutzen auch die
innovativen Methoden des Fuzzing, um Schwachstellen und Robustheitsprobleme in Software aufzudecken.
Warum sind Firewall-Systeme an den Außengrenzen des Netzwerks nicht ausreichend?
Wer Schaden von seiner Informations- und Kommunikationstechik abwenden möchte, muss wie
ein Angreifer denken und handeln. Viele Unternehmen konzentrieren sich stark auf Perimetersicherheit, die praktisch die Außengrenzen eines
Unternehmens schützt. Dabei wird die Kontrolle
des Innenlebens ihrer IT oft vernachlässigt. Bedarfsgerechter Schutz entsteht aber nur, wenn die
einzelnen Sicherheitsbausteine optimal im Unter-
„Wer bei der Prävention
morgen noch zur Avantgarde gehören will, muss
an vorderster technologischer Front arbeiten.“
René Reutter,
Leiter ICT-Sicherheit bei T-Systems
nehmensnetzwerk verteilt sind, intelligent zusammenarbeiten und die wirklich sicherheitsrelevanten Vorfälle mit hohem Automationsgrad aus der
Datenflut herausgefiltert werden.
Was macht Cyberangriffe erst möglich?
Häufigstes Versäumnis ist es, wenn Sicherheitseinrichtungen im Unternehmen nicht ausreichend dynamisch an neue Angriffsmethoden angepasst
sind. Denn wir haben es fast wöchentlich mit neuen Angriffsmethoden zu tun und müssen immer
einen Schritt schneller sein. Viele diskutieren im
Web 2.0, welcher Virenschutzhersteller die Nase
vorn hat. Dabei übersehen sie, dass Angreifer
durch Ausnutzung von Schwachstellen privilegierte Rechte erhalten und sogar Virenschutzprogramme aushebeln können. Nur große Organisationen
können das komplexe Expertenwissen vorhalten,
um darauf geeignet zu reagieren. Zudem lässt der
ausschließliche Blick auf das Kerngeschäft den
Datenschutz und die ICT-Sicherheit bei zahlreichen Unternehmen vielfach in den Hintergrund
rücken. Mittelständische Unternehmen haben
meist größere Defizite als multinational agierende
Großunternehmen mit eigener Sicherheitsorganisation. Übrigens: Schwachstellen entstehen auch,
wenn es punktuelle Ausnahmeregelungen für das
Topmanagement gibt.
Müssen wir uns an Viren und Malware
ebenso gewöhnen wie an Grippewellen, oder
ist ein digitaler Impfschutz in Sicht?
Ein generisches „Rundum-Sorglos-Paket“ wird es
nicht geben, denn immer neue Schwachstellen in
Applikationen und Betriebssystemen führen dazu,
dass Angreifer oftmals sogar Schutzprogramme
aushebeln können. Man kann aber durch ein geeignetes Systemdesign solche Attacken in vielen
Fällen frühzeitig erkennen. Grundsätzlich gilt:
Wissen ist die beste Verteidigung. Wer seine ICT
schützen will, muss wie ein Angreifer denken und
handeln. Nichts offenbart Systemschwachstellen
schneller und zuverlässiger als ein regelmäßiger
Wechsel der Perspektive. Bedarfsgerechter Schutz
entsteht, wenn sicherheitsrelevante Vorfälle automatisch aus der Datenflut herauskristallisiert werden. Wer bei der Prävention morgen noch zur
Avantgarde gehören will, muss an vorderster technologischer Front arbeiten – egal, wie aggressiv
künftige Angriffsszenarien auch sein mögen.
INTERVIEW: MATT SLOAN
32
SICHERHEIT NEU DENKEN!
Wirtschaftsleben und Consumer-Welt werden zu einer vernetzten
Informations- und Wissensgesellschaft. Dabei kommt nicht nur immer
neueren, sinnvollen und erfolgsversprechenden Technologien
eine besondere Bedeutung zu. Sondern auch, so der Fachbuchautor
und Informatikprofessor Dr. Norbert Pohlmann, unserem nötigen –
und möglichen – Vertrauen auf Sicherheit.
erfahren
33
GASTBEITRAG
J
e wertvoller Daten werden, die als Bits und Bytes zur Verfügung stehen,
desto größer ihre Abhängigkeit von sicheren IT-Dienstleistungen aus dem
Netz. Aus zwei Gründen: Die möglichen Angriffsflächen werden immer
breiter und vielfältiger. Und die Ausführung von Attacken – auch auf die Verfügbarkeit der IT-Systeme – stetig verteilter, raffinierter und professioneller.
Zugleich erfährt IT-Kriminalität eine zunehmende Industrialisierung und erlangen mögliche Schäden eine kaum zu überschätzende Nachhaltigkeit. Die
Anforderung an Individuen und Organisationen, Unternehmen und Behörden, ihre Daten und damit ihre Werte zu schützen, ist höher als je zuvor.
Die Software stellt in allen Branchen einen anhaltend größeren Wertschöpfungsanteil dar. Wir nutzen sie in PCs, Notebooks, Smartphones, aber
auch immer mehr in Autos, Industrieanlagen oder Kühlschränken.
Eine gute Software erreicht ein hohes Maß an Qualität, wenn alle Funktionen korrekt und zuverlässig arbeiten. Eine schlechte Software hingegen hat
viele Schwachstellen und ist damit einfach anzugreifen. Die Ursachen für leicht
angreifbare Software sind zum Beispiel steigende Komplexität, kein Sicherheitsbewusstsein sowie fehlende Expertise der Entwickler. Oder einfach nur der Zeitdruck für die Fertigstellung. Die Hersteller arbeiten daran, die Anzahl der
Schwachstellen in ihrer Software zu minimieren. Aber die Angreifer machen zurzeit einen besseren Job. Aus heutiger Sicht ist festzustellen, dass sich dieser
Zustand nicht kurzfristig ändern wird, das heißt, die Fehlerdichte von Software
wird zwar kleiner, Fehlerfreiheit ist aber nicht erreichbar. Die kleiner werdende
Anzahl der Softwareschwachstellen wird gleichwohl wegen der professionelleren Nutzung durch kriminelle Organisationen immer bedrohlicher.
Angriffsvektor: Malware
Angreifer verfolgen im ersten Schritt gern das Ziel, „Schadsoftware“ wie Viren,
Würmer, trojanische Pferde durch Softwareschwachstellen auf IT-Endgeräte
zu schleusen. Diese Malware wird zum Beispiel über E-Mail-Anhänge oder
Webseiten mit Schadkode, auf denen die Nutzer surfen, unbemerkt auf deren
Endgeräten installiert. Wir gehen davon aus, dass aktuell auf jedem 25. IT-Endgerät ungewollte Malware vorhanden ist, die über ein Botnetz gesteuert wird.
So können Angreifer nicht nur die Devices von Unternehmen für die Spam-Verteilung einsetzen und so für DDoS-Angriffe (Distributed Denial of Service) auf
andere Adressaten nutzen. Mit gleich zwei Effekten: Die IT-Systeme anderer
Netzwerke oder Organisationen werden unter Umständen komplett lahmgelegt und die Spuren zur möglichen Rückverfolgung der Täter verschleiert.
Viel gefährlicher kann es werden, wenn IT-Kriminelle Informationen von
unseren Endgeräten auslesen (Keylogger) und Software oder Daten unbrauchbar machen. Zurzeit liegt die Rate der Attacken, die von Anti-Malware-Produkten erkannt werden, nur bei 75 bis 90 Prozent!
Fotos: F1 online, privat
Quantensprung von Angriffssoftware: Stuxnet
Cyberwar wird eine immer realere Bedrohung in Form von gezielten Angriffen
auf kritische Infrastrukturen. Neben den DDoS-Angriffen auf Server der Regierung von Estland ist unlängst „Stuxnet“ als eine weitere potenzielle Bedrohung
von Staaten bekannt geworden. Unter dem Namen wird ein Botnet mit einer qualitativ sehr hochwertigen Malware verstanden, die speziell für Produkte zur Überwachung und Steuerung technischer Prozesse (SCADA/Supervisory Control
and Data Acquisition) entwickelt wurde. Es wird spekuliert, dass diese Malware
mit dem Ziel geschrieben wurde, die Leittechnik einer Anlage zur Urananreicherung im Iran zu sabotieren. Damit hat Stuxnet eine neue Qualität an Malware eingeleitet, die sehr viel intelligenter ist, viel gezielter vorgeht und vor allem einen
sehr viel größeren Schaden anrichten kann. Stuxnet markiert den Startpunkt der
Entwicklung von qualitativen Cyberwaffen, die Industrien und Infrastrukturen
ganzer Länder lahmlegen können.
Trends in der IT-Sicherheit
Die zunehmende Vielfalt unserer IT-Endgeräte braucht deutlich verlässlichere
und wirkungsvollere Sicherheitskonzepte. Wir müssen weg von den reaktiven
hin zu aktiven Sicherheitssystemen, die eine Ausführung von Malware verhindern können. Solche aktiven Sicherheitssysteme arbeiten mit einem Sicherheitskern und Virtualisierung, können Software messbar machen und, mit einer starken Isolation, Daten und Anwendungen – und damit den Werten auf unseren
Endgeräten – nachhaltige Sicherheit bieten.
Außerdem geht der Trend fort von der Perimetersicherheit, mit der Unternehmen bislang versuchten, mehr oder weniger erfolgreich ihre IT-Außengrenzen abzuschotten. Stattdessen wird eine domänenorientierte Objektsicherheit
Raum greifen, bei der die Objekte mit Rechten versehen werden, die definieren, wer sie in welcher IT-Umgebung wie nutzen darf.
Für beide Trends muss die Softwarearchitektur der IT-Endgeräte allerdings
grundlegend anders aufgebaut sein als bisher. Außerdem müssen SicherheitsInfrastrukturkomponenten aufgebaut werden, damit diese Technologien organisationsübergreifend genutzt werden können. Auf der Forschungsebene stehen innovative Sicherheitssysteme, zum Beispiel die Open-Source-Technologie Turaya, schon länger zur Verfügung. Die ersten IT-Sicherheitsunternehmen
bieten bereits ausgereifte Produkte. Jetzt wird es Zeit, dass diese von der Industrie eingeführt werden, damit eine höhere Sicherheit und Verlässlichkeit
der IT-Endgeräte erzielt werden kann.
Sichere Compliance in der Cloud
Grundsätzlich ist Cloud Computing eine sehr einfache, preisgünstige Alternative für den dynamischen IT-Leistungsbezug. Vor allem aber sind einige Compliance- und Sicherheitsaspekte in der Regel effektiver in Cloud-Umgebungen
umzusetzen, als die IT-Ressourcen in vielen Unternehmen selbst das je leisten
könnten. Sehr wichtig ist, dass sich die Unternehmen dafür den richtigen, vertrauenswürdigen Anbieter aussuchen. Denn natürlich gibt es eine Abhängigkeit vom Dienstleister, die Auswahl ist entsprechend wichtig. Zum Beispiel
muss jedem Unternehmen klar sein, dass amerikanische Cloud-Dienstleister
laut USA Patriot Act dazu verpflichtet sind, Daten an ihre Regierung weiterzugeben, auch wenn diese das ohne richterlichen Beschluss anfragt, auch wenn
die Rechenzentren in Europa stehen.
Insofern kommt dem Standort sowie den Besitzverhältnissen von Rechenzentren besondere Bedeutung zu, in denen Provider ihre Clouds buchstäblich beheimaten.
NORBERT POHLMANN
Links:
www.it-sicherheit.de
www.internet-sicherheit.de
VITA
Prof. Dr. Norbert Pohlmann
Der geschäftsführende
Direktor des Instituts
für Internet-Sicherheit an der
FH Gelsenkirchen ist
seit 2003 Professor für Verteilte
Systeme und Informationssicherheit im Fachbereich
Informatik und Autor mehrerer
Fachbücher.
34
erfahren
KONTROVERS
INNENTÄTER
REIZ DER VERSUCHUNG
Wenn Unternehmen Daten und Know-how gestohlen wird, haben zumeist eigene Mitarbeiter die
Finger im Spiel. Unter dem Eindruck der Cyberkriminalität wird das Innentäter-Risiko unterschätzt.
V
errat von Geschäfts- und Betriebsgeheimnissen, Urheberrechtsverletzungen oder Wirtschaftskriminalität durch eigene Mitarbeiter? Gibt es
bei uns nicht!“ Diese in vielen Unternehmen verbreitete Haltung ist sehr
riskant. Auch wenn die Schäden in den Unternehmen insbesondere durch die
hohe Dunkelziffer nur schwer abschätzbar sind, wäre es doch fatal, jegliches
Risiko im eigenen Haus zu ignorieren. Denn sogenannte Know-how-Abflüsse
gibt es häufiger, als man denkt. Eine vom Sicherheitsforum Baden-Württemberg (SiFo) in Auftrag gegebene und von der School of Governance,
Risk & Compliance der Steinbeis-Hochschule Berlin erstellte Studie ergab:
• Die am meisten verbreitete Form der Wirtschafts- und Industriespionage
war der Verrat oder das Ausspähen von Geschäfts- und Betriebsgeheimnissen. Die Hauptziele der Täter lagen in den Bereichen Produktion und Fertigung (19 Prozent) sowie Forschung und Entwicklung (F&E, 14 Prozent).
• Sowohl forschungsintensive (24 Prozent) als auch nicht forschungsintensive (32 Prozent) Unternehmen waren spürbar von Wirtschaftskriminalität
(Unterschlagung, Untreue, Betrug) betroffen.
• 38 Prozent der Unternehmen, insbesondere im Bereich intensiver F&E, sahen
sich in den vergangenen vier Jahren Urheberrechtsverletzungen ausgesetzt.
Doch wer sind die Täter? – Die meisten Unternehmen machen die gleiche
nüchterne Erfahrung: Die Mehrheit der Täter stammt aus dem Kreis der eigenen Mitarbeiter, und zwar unabhängig von Tätigkeit und Hierarchiestufe!
Einem Großteil der Personen hätten weder Vorgesetzte noch Kollegen die Tat
zugetraut. Dabei begegnet man, wenn es um sicherheitsrelevante Informationen geht, neuen Mitarbeitern und Managern mit größerer Vorsicht als langjäh-
rigen Kollegen. Das ist nachvollziehbar, aber laut Studie nicht begründet. Im
Gegenteil: Gefahren drohen Unternehmen weniger von neu eingestellten Mitarbeitern als von Personen, zu denen aufgrund langjähriger Betriebszugehörigkeit ein Vertrauensverhältnis besteht. So ist der typische Innentäter sozial
unauffällig, im Durchschnitt etwa 40 Jahre alt, männlich, überdurchschnittlich
gebildet und gehört dem Unternehmen seit zehn Jahren an.
Das heißt nicht, dass man langjährigen Unternehmensangehörigen ein
generelles Misstrauen entgegenbringen sollte. Dies könnte sich nach Forschungen zur Arbeitspsychologie sogar als kontraproduktiv erweisen. Aber
umgekehrt ist ein besonderer Vertrauensbonus gegenüber bestimmten Mitarbeitergruppen auch nicht angezeigt.
Stattdessen empfiehlt unsere Studie konkret drei Maßnahmen: die Schulung der Belegschaft, um ein Problembewusstsein zu schaffen und für Akzeptanz der Kontroll- und Präventionsmaßnahmen zu werben, die Entwicklung
und Kommunikation eines Sicherheitskonzepts sowie die Einrichtung der
Funktion eines „Beauftragten für Know-how-Schutz“ als Ansprechpartner für
alle Unternehmensangehörigen.
Daraus ergibt sich eine Frage, die sich jedes Unternehmen dringend
stellen sollte: Wann fangen wir damit an? Denn im Grunde geht es täglich
darum vorzubeugen, um den Reiz der Versuchung gar nicht erst aufkommen zu lassen.
Links:
www.sicherheitsforum-bw.de
www.t-systems.de/sifo-studie/know-how-schutz
www.t-systems.de/sifo-studie/handlungsempfehlungen
Fotos: peterheck.de, Stephan Pramme
„Der typische
Innentäter ist sozial
unauffällig,
im Durchschnitt
etwa 40 Jahre alt,
männlich, überdurchschnittlich gebildet
und seit zehn Jahren
im Unternehmen.“
Dr. Christiane Meis,
Geschäftsführerin Sicherheitsforum
Baden-Württemberg und
Referatsleiterin Verfassungsschutz im
Innenministerium Baden-Württemberg
Sicherheitsforum Baden-Württemberg (Hrsg.): „SiFo-Studie 2009/10 – Know-how-Schutz in Baden-Württemberg“ und „SiFo-Studie 2009/10 – Handlungsempfehlungen für Unternehmen“, 2. Auflage 2011
35
„Internetbasierte
Industriespionage
ist in
vielen Ländern
entweder krimineller
Volkssport oder
sogar dezidierte
Wirtschaftsstrategie
geworden.“
Dr. Sandro Gaycken,
IT-Sicherheitsforscher, Industrie- und
Militärberater, FU Berlin
AUSSENTÄTER
INNERER ODER ÄUSSERER ANGREIFER –
WER IST GEFÄHRLICHER?
Industriespionage aus dem Netz ist ein profitables Business geworden. Doch in ihrer Einschätzung
der Gefahren durch Internetkriminalität sind viele Unternehmen noch immer zu naiv.
B
ei Datendiebstählen ist es wichtig, eine fundierte Einschätzung der Gefahren vorzunehmen. An ihr müssen Risikobewertungen und Gegenmaßnahmen korreliert werden. Aber Daten werden sowohl von außen
als auch von innen entwendet. Welcher Täter ist der gefährlichere? Die Antwort ist nicht leicht, denn sie hängt von verschiedenen Faktoren ab. Bei Innentätern ist das Risiko prima facie sicherlich hoch. Sie kommen leicht an viele
verschiedene Daten heran, darunter auch solche, die extra vom Internet abgeklemmt wurden. Außerdem weiß der Innentäter, welche Daten besonders
interessant und schädigend sind. Allerdings gibt es Innentäter in durchschnittlichen Unternehmen nicht übermäßig häufig.
Das hängt natürlich von vielen Faktoren ab. Aber wenn ein Unternehmen
nicht besonders brisante Forschungs- und Entwicklungsdaten produziert
oder eine herausragend angestelltenfeindliche Arbeitsatmosphäre herrscht,
ist dieser Typ Angriff eher selten.
Ganz anders sieht es da mit dem Außentäter aus. Dieser Typ Angreifer ist
inzwischen alles andere als selten. Industriespionage – gezielt oder einfach
opportunistisch – ist in der Form der Cyberspionage ein ungeheuer profitables Business geworden. Warum? Ganz einfach. Die Kosten für den Einbruch
in ein verdachtsfrei gewartetes und infolgedessen nur mäßig gesichertes
Firmennetzwerk sind überschaubar. Mit drei bis vier Tagen Arbeit kommt man
bereits an vieles heran. Der Nutzen der Daten für andere Unternehmen mit
ähnlichen Interessen dagegen ist hoch. Man spart sich die teuren Entwick-
lungskosten. Ergo werden gute Preise für gute Informationen gezahlt. Das
ergibt eine kriminelle Wirtschaftsbasis. Internetbasierte Industriespionage ist
tatsächlich in vielen Ländern entweder krimineller Volkssport oder sogar
dezidierte Wirtschaftsstrategie geworden. Leider sind viele Unternehmen
überaus exponiert. Und die weit verbreitete Naivität gegenüber den Gefahren
aus dem Netz ist hoch.
Wer aber kritische Forschungs- und Entwicklungsdaten schlecht gesichert direkt oder indirekt am Internet hat, muss davon ausgehen, dass diese Daten über kurz oder lang kopiert werden. Untersuchungen auf solchen
Rechnern haben teilweise bis zu 40 verschiedene Angreifer gleichzeitig
identifiziert. Die Betreiber waren sich immer vollkommen sicher, keinen einzigen Angriff zu haben. Unternehmenssicherheit muss diesen neuen Vektor also unbedingt gewissenhaft abdecken. Auch wenn den Verantwortlichen bei ihrer Kosten-Nutzen-Rechnung die Gefahren aus dem Netz häufig
diffus erscheinen, Kosten für die Aufrüstung der eigenen IT-Protektion jedoch sehr konkret.
Und Unternehmen sollten bei allen sensiblen Daten sorgfältig erwägen,
ob sie überhaupt unbedingt über das Netz verfügbar sein müssen.
Links:
www.inf.fu-berlin.de
www.t-systems.de/datensicherheit
36
erfahren
CIO TALK
„BEI COLLABORATION
MIT WEBSERVICES SIND DIE
AIRPORTS WEIT VORN“
Fraport-Flughafen-CIO
Dr. Roland Krieg im Gespräch
mit T-Systems Account Executive Michael Pfeffer und Jürgen
Ziemer-Rückert, dem Fachbereichsleiter Airport Customers
des Fraport/T-Systems-Joint
Ventures „Operational Services“, über Security-Awareness
der eigenen Mitarbeiter,
Zutrittsregelungen in virtuelle
Projekträume und eine
Collaboration-Lösung für alle
Flughäfen weltweit.
VITA
Dr. Roland Krieg, 56
Der promovierte Physiker
ist Executive Vice President
der Fraport AG und seit 1997
CIO des Internationalen
Rhein-Main-Flughafens in
Frankfurt.
37
FAKTEN
Fraport AG
Die börsennotierte Betreibergesellschaft des Frankfurter Flughafens
beschäftigt knapp 18 000 Mitarbeiter. Mit 53 Millionen Fluggästen
und einem Luftfrachtaufkommen von 2,3 Millionen Tonnen ist der Airport
der größte Flughafen Deutschlands und eines der wichtigsten
Luftverkehrsdrehkreuze der Welt.
Auf bis dato drei Start- beziehungsweise Landebahnen wickelte Fraport
2010 mehr als 460 000 Flugbewegungen ab. Im Oktober dieses Jahres
nahm der Flughafen eine vierte Landebahn in Betrieb.
Herr Dr. Krieg, Ihr Rechenzentrum muss aktuell 450 Anwendungen
am Laufen halten, viele davon flugbetriebsrelevant oder sogar
flugbetriebskritisch. Welche Anforderungen stellt das an Ihr Applikationsmanagement?
Sehr große. Das fängt bei der Entwicklung an und reicht bis zur Sicherstellung des unterbrechungsfreien Betriebs. Absolut sind es noch deutlich mehr
Anwendungen, aber allein 450 darunter sind betriebswichtig, und etwa die
Hälfte davon ist für unsere Zwecke customizt. Das hat zwei Gründe: Flughafenindividuelle Anwendungen verschaffen uns USPs, in denen wir uns von anderen Airports unterscheiden und uns Wettbewerbsvorteile sichern.
Wichtiger aber noch: Unter dem Dach von Fraport kommen viele verschiedene Dienstleistungen in einem integrierten Geschäftsmodell zusammen. Wir
sind Flughafenbetreiber, Logistikunternehmen, Immobilienentwickler, Betreiber eines Einkaufszentrums, Cargo- und Sicherheitsunternehmen zugleich.
Mit über 5,5 Millionen Fluggästen hatte der Frankfurter Airport
im Juli dieses Jahres den passagierstärksten Monat seiner Geschichte.
Wie hält Ihre IT-Infrastruktur mit solchen Rekorden Schritt?
Wir investieren sehr viel in die IT-Systeme, die unmittelbar Effekte auf Passagierfluss und Bewegung der Flugzeuge am Boden haben. Dafür haben wir unsere größte Anwendung von T-Systems entwickeln lassen – die Airport Operational Database (AODB). Als Datenbank und Message Hub, die zu jedem Zeitpunkt weiß, was in diesem Moment wo am Flughafen abläuft, ist die AODB unser zentrales Nervensystem, ein Herzstück der Operation. Und wir entwickeln
neue Applikationen. Ein Beispiel ist die Passagierfluss-Steuerung, die uns hilft,
vorausschauend unsere Kapazitäten so einzusetzen, dass beispielsweise War-
tezeiten für unsere Kunden an den Sicherheitskontrollen minimiert werden. Es
geht um Optimierung für uns und um Qualität für den Passagier. RMS (Resource Management System) ist eine andere Neuentwicklung, mit der wir die Disposition der Standplätze aller Flugzeuge optimieren und so die Abwicklung
und den Umsteigeprozess an den Gates effizienter machen.
Dieser Rekord, den Sie ansprechen, zeigt beispielhaft, wie notwendig der
nahezu stete Ausbau des Flughafens ist. Das bedeutet für uns: Mit der neuen
Landebahn, die wir im Oktober eröffnet haben, mit jedem neuen Gate, das
wir zusätzlich anbieten, gehen große IT-Investitionen einher. Mit jedem Kubikmeter Beton und Stahl „verbauen“ wir auch mehr IT.
Sicherheit und deren Kontrolle haben in einem Flughafenbetrieb
ungleich mehr Dimensionen als in jedem anderen Unternehmen.
Personen und Pässe, Cargogüter, Frachtpapiere, Zollkontrollen – welchen
„Sicherheitsbeitrag“ liefert Ihre IT dazu?
Ich nenne zwei Beispiele: Wir nutzen als einer der ersten Flughäfen ein System,
das schon beim ersten Eintritt des Passagiers in den Sicherheitsbereich des
Terminals den 2D-Barcode der Bordkarte scannt. Als einer der ersten Flughäfen überhaupt kontrollieren wir damit unter anderem, ob nicht ein anderer
Terminalbesucher die gleiche Karte auch schon vorgelegt hat. Denn mit
Home-Check-in drucken sich viele Menschen ihre Bordkarte schon zu Hause aus. Die können sie natürlich auch zehnmal kopieren und entsprechend
viele Leute damit in den Abflugbereich schleusen. Das kann ohne unsere Kontrolle nicht bemerkt werden.
Ein anderes Beispiel ist die Eigensicherung des Geländes. Wir wechseln
gerade von der analogen zur digitalen Videoüberwachung auf ein System,
38
„Mit jedem zusätzlichen Gate, das wir
bereitstellen, mit jedem Kubikmeter Beton und
Stahl ‚verbauen‘ wir auch mehr IT.“
Dr. Roland Krieg,
CIO Fraport AG
das mit über 2000 Kameras unter anderem alle Sicherheitstüren „im Auge“
behält. Bei einem Alarm gehen die entsprechenden Bilder automatisiert in
unsere Sicherheitsleitstelle. Und die ist quasi ein einziges IT-Muskelpaket,
vernetzt mit allen Sicherheitsbehörden am Airport.
Auf Ihrem Flughafen arbeiten 71 500 Menschen. Wie führen Sie und Ihre
IT den Rhein-Main-Airport in die Zukunft eines Mobile Enterprise?
Was die Mobilisierung der Prozesse unserer eigenen knapp 18 000 Mitarbeiter angeht, haben wir zwei völlig unterschiedliche Konzepte. Im Außendienst
draußen, an den Gates und Flugzeug-Abstellpositionen, haben wir etwa für
unsere Lademeister sehr früh damit begonnen, Daten mobil über WLAN auf
ihren Tablet-PCs zur Verfügung zu stellen – Dispositionssysteme zum Beispiel. Da geht es um hohe Ansprüche an die Hardware, denn diese Devices
werden zwischen minus 20 und mehr als 40 Grad Celsius unter extremen Bedingungen eingesetzt und müssen sehr robust sein. Das Display darf nicht
„einfrieren“, muss bei greller Sonne gut lesbar sein, die Akkuleistung musste
erhöht werden, und einen Sturz aufs Rollfeld muss es auch mitmachen.
In unsere Büros zieht Mobile Enterprise mit der Fertigstellung der
neuen Konzernzentrale ein: Auf WLAN-Basis für den Zugriff auf seine
Daten und VoIP-Telefonie wird dort jeder arbeiten können, wo er will, ohne
sich immer neu anzumelden. Das ist unser Weg in Richtung des mobilen
Arbeitsplatzes.
Stichwort Anmeldung – wie lösen Sie das Problem der Authentifizierung?
Hier im eigenen Netz haben wir die Zwei-Faktor-Authentifizierung, also die
User-ID und das Passwort. Wenn es um den Zugriff von außen auf das FraportBest Practice 04 l 2011
Netz geht, haben etwa 1300 Mitarbeiter zusätzliche Token im Einsatz. Das ist
zugleich auch unsere Secure-Collaboration-Lösung für die Zusammenarbeit
mit Zulieferern und Dienstleistern, wenn etwa Baufirmen, Planungsunternehmen, Statiker, Prüfunternehmen und das jeweilige Projektmanagement
ihre Daten, Spezifikationen oder Pläne bei uns in einen zentralen virtuellen
Projektraum stellen. So sichern wir dessen Zugänge mit einer Drei-FaktorAuthentifizierung.
Zurzeit testen wir, inwieweit sich Passwort oder User-ID durch einen
hochverschlüsselten Chip auf dem Dienstausweis ersetzen lassen. Denn in
der Kombination Besitz und Wissen sehen wir unsere Daten IT-seitig auf der
noch sichereren Seite.
Grundsätzlich glaube ich ohnehin, das größere Sicherheitsrisiko liegt
weniger in der Technik – dafür gibt es gute Lösungen – als im Bereich des sogenannten Social Engineering. Wenn sich Menschen ungebeten für unsere
Daten interessieren, sich über Social Networks zum Beispiel an einen Mitarbeiter rangraben, um ihn bewusst oder unbewusst zum Werkzeug zu machen.
Da sehe ich eine viel größere Gefahr.
Wie halten Sie es überhaupt mit privaten Anwendungen auf
Mitarbeiter-Devices?
Unsere Sicherheitsregeln sagen dazu nein. Deshalb haben wir das auch
physisch durch Sperrmechanismen unterbunden. Die Verwendung privater
E-Mail-Programme zum Beispiel ist mit der Security Policy nicht vereinbar.
Auch deshalb werden wir in den nächsten Monaten eine Awareness-Kampagne bei unseren Mitarbeitern starten. Wir haben sehr viel Geld in eine ausgefeilte Sicherheitsumgebung rund um unser Netz und Rechenzentrum, das wir
erfahren
39
CIO TALK
Gemeinsam im Cockpit der
Flughafen-IT: Fraport-CIO Dr. Roland
Krieg, Jürgen Ziemer-Rückert,
Fachbereichsleiter Airport Customers
der „Operational Services“,
und T-Systems Account Executive
Michael Pfeffer (von links).
als Joint Venture „Operational Services“ mit T-Systems betreiben, investiert.
Das wollen wir über die möglichen Einfallstore privater Anwendungen nicht
wieder gefährden.
Etwas anderes ist es, wenn Mitarbeiter am Arbeitsplatz über ihre Dienstgeräte an unseren Social Media teilnehmen. Dafür haben wir eine klare Policy,
um sie zu beraten, welche Verhaltensregeln sie im Umgang mit Social Media
einhalten müssen und was das für ihren Arbeitgeber bedeutet.
So haben wir von Gästen, Besuchern und Mitarbeitern sehr gut frequentierte Präsenzen in Facebook oder Twitter und auch ein eigenes Fraport-Team,
das über diese Kanäle mit den Passagieren kommuniziert. Ein anderes Beispiel für die zunehmende Zahl von Kanälen ist unsere neue „FRA Airport“App, die eine Vielfalt von aktuellen Informationsservices rund um den Flugbetrieb und Flughafen bietet. Die haben wir zurzeit für iOS-Geräte sowie als
neutrale Web-App und werden jetzt noch eine Android-Version in Betrieb nehmen. Ich habe mir diese Woche die Bewertungen in iTunes angesehen, und
die sind durchweg positiv bis euphorisch.
Sie haben Collaboration schon angesprochen – welche Unterstützung
erwarten Sie in dem Bereich von einem IT-Dienstleister?
Collaboration ist für uns ein essenzieller Punkt. Hier unter den „Spielern“ vor
Ort ebenso wie für den Informationsaustausch im Luftraum. Zum Beispiel haben wir in diesem Jahr „Airport Collaborative Decision Making“ (A-CDM) eingeführt, einen Standardprozess mit entsprechenden IT-Lösungen, der auf der
Ebene von Eurocontrol entwickelt wurde. Damit ist es grundsätzlich einfacher
für Flugsicherung, Airlines, Groundhandler und die Vorfeldkontrolle der Flughäfen, alle relevanten Daten sichtbar für jeden auszutauschen.
Das führt zu einer besseren Vorhersage der kritischen Zielzeiten wie zum
Beispiel der „off-block time“ und besserer Steuerung des Flugverkehrs
selbst – etwa durch DFS und Eurocontrol in Brüssel –, aber auch zu einer besseren Koordination der Bodenprozesse. In Europa werden schon bald
20 Flughäfen diese Collaboration-Lösungen einsetzen, auch in den USA gibt
es entsprechende Initiativen. Dafür ist aber wichtig, dass die individuell integrierten A-CDMs auch interoperabel sind: Wir haben dieses Tool praktisch als
Funktionserweiterung auf unser Herzstück AODB aufgesetzt. Das ist aber
nur der erste Schritt. Jetzt brauchen wir auch die Interoperabilität – im Idealfall über einen einzigen Typ von Webservices, aufgebaut und bereitgestellt
über das Internet.
Dann hätte auch jede Airline nur einen Webservice zu bedienen, und wir
als Flughafen brauchten nicht 140 verschiedene Airline-Schnittstellen. So ein
Service wäre total skalierbar, auch um irgendwann mal kleine Flughäfen einzubinden. Dann liefe der Datenverkehr auch nicht mehr über spezielle Netze,
sondern über das Internet. Bei Collaboration mit Webservices sind die Airports weit vorn.
So bauen wir in einer internationalen Arbeitsgruppe zusammen mit Flughäfen wie Amsterdam, London, München und Zürich gerade im Auftrag des
ACI (Airport Council International), des obersten Komitees aller Flughäfen
weltweit, eine Recommended Practice auf, in der wir beschreiben, wie dieser
Webservice aussehen wird. Und da sind Sie als T-Systems beim Bau eines
Prototypen ja auch mit im Boot. So schließt sich der Kreis – von der mit Ihnen
entwickelten individuellen Collaboration-Software an einem Flughafen zu
einem weltweiten Service, den ein IT-Dienstleister unterstützt.
Welche für die Fraport AG auch compliancegerechten Optionen sehen
Sie in den Cloud-Services der IT-Dienstleister?
Die Vorteile von Cloud Computing etwa für Mailing-Systeme liegen auf der
Hand: einfache Administration über professionelles Management, Skalierbarkeit, günstige Kosten. Dass ich mich trotzdem dazu entschieden habe, unser
komplett neues E-Mail-System nicht in eine externe Cloud auszulagern, sondern in Frankfurt zu betreiben, hat ja seinen Grund: Die europäischen Datenschutzrichtlinien werden von vielen Cloud-Anbietern nicht erfüllt. Das, was
ich von internationalen Cloud-Providern angeboten bekomme, ist nicht in
voller Übereinstimmung mit europäischen Rechtsvorschriften. Wenn große
US-Konzerne nur ihre weltweiten Tochterunternehmen benennen sollen, die
dann theoretisch Zugriff auf unsere Daten hätten, wird es schon schwierig.
Europäisches Recht verlangt aber, dass wir sogar alle relevanten Unterauftragnehmer unserer Dienstleister kennen müssen. Und daran scheitern viele
Unternehmen schon. Das heißt aber, unter solchen Umständen bekommt die
Cloud eine undurchsichtige Wolkigkeit. Denn so eine Ausweitung von Datenkreisläufen, wie sie in den USA vielerorts für völlig normal gehalten wird, ist
ein systemimmanenter Widerspruch. Außereuropäische Anbieter werden in
Sachen Outsourcing-Verträge jetzt erst mal zurückgehen, ihre Hausaufgaben
machen und neue Lösungen anbieten.
Sie haben eingangs den „unterbrechungsfreien Betrieb“ schon einmal
angesprochen. Mit welchen Maßnahmen stellen Sie sicher, dass Ihre
Geschäftsprozesse bei einer Störung Ihrer IT ohne Störung weiterlaufen?
Am Anfang steht eine Analyse der kritischen Punkte im System: Wie sind Anwendungen gestrickt und miteinander verbunden? Als organisatorischen
Rahmen, den ich für absolut notwendig halte, haben wir in der Fraport einen
IT Continuity Manager, der direkt an mich berichtet und sich fulltime nur um
die Frage kümmert: Wie und was arbeiten wir gerade am Thema „unterbrechungsfreier Betrieb“? Dabei spielt auch unsere gemeinsame Tochter Operational Services eine zentrale Rolle.
Sie brauchen im System eine technische Kontinuität durch Redundanz
und Vermeidung der Single Points of Failure. In unserem zentralen System,
der Airport Operational Database, haben wir im Prinzip ein dreistufiges Verfahren, mit dem immer wieder neue Ersatzsysteme eingreifen.
Außerdem haben wir für die wichtigen Systeme ausgefeilte Eskalationsverfahren. Das alles sagt natürlich nicht, dass ein Totalausfall innerhalb einer
noch akzeptablen Zeit auch garantiert zurückgeführt werden kann.
Denn es gibt Ersatzverfahren, die nach einigen Stunden nicht mehr in der
Lage sind, einen Bereitstellungsausfall vollständig zu kompensieren. Das
bedeutet: Irgendwann werden Verzögerungen produziert. Dann trifft es das
Geschäft, und von dem Moment an wird es schmerzhaft. 100 Prozent ausschließen können wir das nicht. Wir können es nur mit all den genannten
Maßnahmen immer unwahrscheinlicher machen.
MODERATION: THOMAS VAN ZÜTPHEN
Links:
www.fraport.de
www.t-systems.de/fraport
www.t-systems.de/airport-services
40
erfahren
GALILEO
AM HIMMEL
KOMMT
BEWEGUNG AUF
Zugegeben: Im Wettbewerb mit dem amerikanischen
GPS und dem russischen Glonass spielt für das
europäische Satelliten-Navigationssystem Galileo auch
Prestige eine Rolle. Vor allem aber sollen die
kontinentale Wirtschaft und die Menschen der Alten Welt
vom fünf Milliarden Euro teuren und damit wichtigsten
und größten Hightech-Projekt Europas profitieren. Bereits
für die ersten 20 Betriebsjahre Galileos kalkulieren
Experten den volkswirtschaftlichen Nutzen kumulativ
auf mehr als 90 Milliarden Euro.
Am 21. Oktober starteten vom Weltraumzentrum
in Französisch-Guayana aus – an Bord einer russischen
Sojus-Rakete – die ersten zwei Galileo-Satelliten ins All.
41
Lesen Sie hier …
X welche Industriebranchen vom Navigations-
system Galileo am meisten profitieren,
X wie im Bereich neuer Verkehrslösungen
mehr als 100 000 Arbeitsplätze entstehen,
X wer das kontinentale Navigationssystem vor
Attacken aus dem Internet schützt.
N
avigation als Positionsbestimmung, Standortinformation und Richtungsempfehlungen mithilfe von Satelliten gelten Europas Wirtschaftspolitikern als einer der größten Wachstumsmärkte der kommenden
Jahrzehnte. So werden unabhängigen Studien zufolge mit Galileo allein im Bereich neuer Lösungen für die Verkehrslenkung und den Umweltschutz mehr
als 100 000 neue Arbeitsplätze entstehen. Ob für ressourcenschonendere
Transportsysteme, schnellere Zollabwicklung im grenzüberschreitenden
Güter verkehr oder die handfeste Lebensqualität jedes Einzelnen – als zuverlässige Infrastruktur für zivile und privatwirtschaftliche Zwecke wird Galileo eine Fülle innovativer Dienstleistungen möglich machen. Dafür wird die European Space Agency (ESA) in den kommenden drei Jahren zunächst 14 und ab
2020 insgesamt 30 Satelliten in 23 000 Kilometern Höhe die Erde umkreisen
lassen und dafür sorgen, dass Europas Antwort auf GPS & Co. viel mehr kann,
als „nur“ Autofahrer, Piloten oder Schiffsführer durch Verkehrswege zu lotsen.
So schwärmt etwa der Italiener Antonio Tajani, Vizepräsident der Brüsseler
EU-Kommission für Unternehmen und Industrie: „Galileo treibt Innovation mit
herausragenden Navigationsanwendungen.“
Mit der Funktion „Inclusion“ etwa werden Location Based Services (LBS) mit
Satelliten-Navigationsdaten Rollstuhlfahrern in jeder Stadt der Welt helfen,
Barrieren zu umfahren und ihre Mobilität zu verbessern. Die Anwendung
„Close Search“ für Rettungshubschrauber oder ein „Person-Overboard
System“ (POB) für Schiffsbesatzungen werden die Rettung von vermissten
Personen in Zukunft viel schneller ermöglichen. Und ob Galileo Sehbehinderten oder Alzheimer-Erkrankten das Leben erleichtert, für Logistikunternehmen ein globales Container Tracking lückenlos präzise möglich macht
oder Landwirte weltweit ihre Erntemaschinen zentimetergenau durch Erdbeerreihen oder Salatplantagen fernsteuern – Basis für das orbitale Navigationssystem ist eine weltumspannende ICT-Unterstützung auf der Erde.
Fotos: ESA
Vom Rollstuhl bis zur Erntemaschine
42
erfahren
GALILEO
Erfolgreicher Start im
zweiten Versuch: Einen Tag
nach dem ursprünglichen
Termin startete am
21. Oktober erstmals eine
russische Sojus-Rakete vom
Weltraumbahnhof in
Französisch-Guayana aus ins
All. An Bord der Trägerrakete: die beiden ersten
Galileo-Satelliten.
„Ohne zuverlässiges Logistikmanagement am Boden
läuft auch bei der satellitengestützten Navigation nichts.“
Fotos: ESA/CNES/Arianespace/Optique Video Du CSG, Thomas Ernsting
Ralf Nejedl,
Managing Director T-Systems Belgien
Verkehrsmanagement
und Logistik
BISHERIGE T-SYSTEMS-PROJEKTE:
Mautsystem Toll Collect
TelematicsOne-Portal für Spediteure
MAN-Flottenmanagement
DB Schenker Rail:
System für Güterwaggons
GIZ und DB Schenker:
Low Carbon Navigation
43
Im italienischen Fucino
und im bayerischen
Oberpfaffenhofen (Foto)
stehen zwei identisch
bestückte Kontrollzentren, in denen die
Spiegelung der
gesamten Boden-Infrastruktur erfolgt.
„Ohne zuverlässiges Logistikmanagement am Boden läuft auch bei der satellitengestützten Navigation nichts“, erklärt Ralf Nejedl, Managing Director
T-Systems Belgien und verantwortlich für das Galileo-Programm bei der
Großkundensparte der Telekom. Mit Galileo, so der Experte, „entsteht ein
komplexes System aus Software, spezieller Hardware und Netzwerkkomponenten – ein technisches Ausnahmeprojekt, das für eine herausragende
Einsatzdauer mit extrem hoher Verfügbarkeit vorgesehen ist“.
Robuste Logistik am Boden sichert Signalempfang
Denn die 13 Zentner schweren Satelliten des Bremer Raumfahrtkonzerns OHB
Technology sollen mindestens 14 bis 17 Jahre lang auf ihren drei verschiedenen Umlaufbahnen um die Erde kreisen – und zuverlässig Daten tauschen.
Aufgabe für T-Systems war es in einem ersten Schritt, die Systeme für das
Logistik-Engineering und -management zu planen und den Aufbau einer eigenen, europäischen Weltrauminfrastruktur für Satellitennavigation am Boden
zu begleiten. Genau damit beauftragte Spaceopal, ein Gemeinschaftsunternehmen des Deutschen Zentrums für Luft- und Raumfahrt (DLR) und des
italienischen Satelliten-Betriebsspezialisten Telespazio, die Telekom-Tochter.
„Aufgrund der speziellen Erfahrung von T-Systems mit Netzwerken und Komponenten strebten wir seit Beginn der Vertragsverhandlungen für das GalileoBodensegment eine langfristige Verbindung mit der Telekom-Tochter an“, begründet Spaceopal-Direktor Christian Langenbach die Entscheidung. Heute
ist T-Systems Core Team Member des Gemeinschaftunternehmens und wird
im kommenden Jahr noch eine weitere Aufgabe übernehmen. „Für Galileo ist
das Ground Data Dissemination Network (GDDN) ein zentraler Baustein“, so
der italienische Spaceopal-Direktor Francesco d’Amore. „Unter Führung von
T-Systems bereiten wir die Inbetriebnahme im kommenden Jahr durch das
Konsortium heute schon vor.“
Senden und empfangen
Neben den Kontrollzentren in Italien und Deutschland sollen weltweit bis zu
40 Satelliten- beziehungsweise Signal-Kontrollstationen, zwei PerformanceCenter (zur ständigen Evaluierung der Signalqualität) und neun Up-LinkStationen (ULS), die die ausgestellten Navigationssignale permanent aktualisieren, 24 Stunden am Tag miteinander kommunizieren.
Experten von T-Systems müssen die regelmäßige Erneuerung und Wartung der Infrastruktur beziehungsweise der IT-Systeme mit Updates und Patches ebenso sicherstellen wie die Versorgung mit Ersatzteilen wie Elektronikund Softwaremodulen, Rechnern und neuer Empfangstechnik. Ob nach
Papua-Neuguinea, ins karibische Kourou oder ins antarktische Troll – neben
dem Ersatzteilmanagement, so Jurry de la Mar, Galileo-Projektmanager bei
T-Systems, „sind die technischen Dokumentationen und das Nachverfolgen
von Reparaturen und Service-Intervallen die wichtigsten Aufgaben im Alltagsbetrieb der Informationssysteme für die gesamte Galileo-Logistik“.
Darüber hinaus sichert der deutsche IT-Dienstleister die globale Infrastruktur
Galileos mit einer Rund-um-die-Uhr-Überwachung sowie Steuerung und
Betrieb der TK-Infrastruktur in mehreren getrennten Netzwerken. Zugleich ist
T-Systems verantwortlich für die Abnahme und Sicherheitstests neuer Netzkomponenten und das Umsetzen von Redundanzkonzepten zur Erhöhung der
Ausfallsicherheit – angefangen mit der Bevorratung von Ersatzkomponenten.
Eine besondere Aufgabe ist der weltweite Schutz der IT-Systeme vor Angriffen und Bedrohungen von außen, der von T-Systems mit unterstützt wird.
Jurry de la Mar: „Ein kontinentales Navigationssystem durch Attacken aus
dem Netz lahmzulegen, hätte für das gesamte Sicherheits-, Verkehrs- und
Transportwesen Europas binnen weniger Minuten fatale Folgen – und kann
deshalb unter wirtschaftlichen Aspekten für kriminelle Auftraggeber und
Organisationen hochinteressant sein.“ Auch deshalb steht die Telekom-Tochter in ständigem Austausch mit anderen ICT-Unternehmen und Spezialeinheiten des eigenen Konzerns, wie den Experten der Computer Emergency
Response Teams (CERT).
Wenn das mehr als Fünf-Milliarden-Euro-Projekt Galileo in drei Jahren
erstmals vollständig in Betrieb genommen wird, erfolgt auch die Spiegelung
der gesamten Boden-Infrastruktur in den Kontrollzentren Fucino und Oberpfaffenhofen. Damit stehen am Ende der wichtigsten Projektphase zwei identisch bestückte Kontrollzentren beiderseits der Alpen, die jeweils Aufgaben
und Betrieb des anderen übernehmen, kommt es in einem der beiden zu
einer Störung.
„So werden sich Industrieunternehmen, Behörden und 700 Millionen
Europäer“, da ist sich Ralf Nejedl sicher, „auf eine global verteilte Infrastruktur
am Boden verlassen können und wird die Verfügbarkeit des Galileo-Logistiksystems gemäß dem international anerkannten Verfahren ‚Integrated Logistic
Support (ILS)‘ gewährleistet.“ Ein nicht ganz unwichtiger Aspekt. Denn auf
Anforderung der ESA musste schon der Aufbau des Logistiksystems entsprechend den strengen ILS-Richtlinien erfolgen. „So stellt das Verfahren sicher“,
erklärt Jurry de la Mar, „dass Betriebskosten und Systemverfügbarkeit im
Lebenszyklus der Satelliten von uns stetig optimiert werden.“
THOMAS VAN ZÜTPHEN
Links:
www.esa.de
www.galileo-navigationssystem.com
www.t-systems.de/galileo
Der Vertrag wird ausgeführt unter einem Programm von und finanziert durch
die Europäische Union. Die in diesem Artikel enthaltenen Aussagen geben
nicht die offizielle Meinung der Europäischen Union oder der Europäischen
Weltraumorganisation wieder.
44
erfahren
TRENDMONITOR
„Internetbetrüger
arbeiten zumeist auf
internationaler Ebene
arbeitsteilig zusammen. In den Foren der
Underground
Economy werden
Schadprogramme
oder komplette kriminelle Infrastrukturen
global zum
Kauf oder zur Miete
angeboten.“
Jörg Ziercke,
BKA-Präsident
30. Juni 2011, Berlin
Fast die Hälfte aller Großunternehmen wird häufig oder regelmäßig ausspioniert.
Angaben in %
15
häufig
20
gelegentlich
9
15
14
21
26
33
29
22
37
selten
Quelle: Institut für Demoskopie Allensbach, „Sicherheitsreport 2011“
Ob durch Insider-Sabotage
oder Cyberattacken – die
Fallzahlen von Datendiebstahl
und Know-how-Abfluss in
den Unternehmen steigen.
IT-Sicherheitsverantwortliche
suchen immer ausgefeiltere
Lösungen, um ihre Daten,
Anwendungen und Infrastrukturen zu schützen.
Deutsche Unternehmen Ziel von IT-Angriffen
19
34
21
nie
18
12
21
15
unmöglich
zu sagen,
keine Angabe
Unternehmen
insgesamt
9
10
unter 100 Mio. € 100–499 Mio. €
Umsatz
Umsatz
500 Mio. € und
mehr Umsatz
IT-Sicherheit hat heute in
allen großen Unternehmen einen
(sehr) hohen Stellenwert
sehr hoch
hoch
nicht so hoch
nur gering
unentschieden,
keine Angabe
Entscheidungsträger messen dem Schutz ihres Unternehmensnetzwerks vor Außenangriffen einen sehr hohen Stellenwert zu.
Entscheidungsträger in der Wirtschaft insgesamt
67
Angaben in %
29
3
31
32
33
4
Umsatz des Unternehmens unter 100 Mio. €
64
Umsatz des Unternehmens 100 bis 499 Mio. €
62
Umsatz des Unternehmens 500 Mio. € und mehr
74
25
Wirtschaftssektor Produzierendes Gewerbe
57
37
4
Wirtschaftssektor Dienstleistungen
74
26
Wirtschaftssektor Handel
Quelle: Bundeskriminalamt, Bundeslagebild Cybercrime 2010
78
16
6
Quelle: Institut für Demoskopie Allensbach, „Sicherheitsreport 2011“. Fehlende Angabe: unter 1 %
ICT-SECURITYMARKT
IN DATEN,
ZAHLEN,
FAKTEN
45
Innentäter sind Sicherheitsrisiko Nr. 1
Mitarbeiter – das schwächste Glied der IT-Security-Kette.
Eingriffe in die IT-Sicherheit deutscher Unternehmen wurden 2011
verursacht über …
Mitarbeiter 50 %
Der Markt für Informationssicherheit bleibt
eine interessante und wichtige Herausforderung für Führungskräfte in IT und Business.
Diese Bedeutung ergibt sich aus
der Relevanz, die dem Thema Informationssicherheit als Teil der IT-Gesamtbudgets –
im Vergleich zu anderen IT-Bereichen – zukommt.
Deshalb geht man allgemein davon aus,
dass das zu erwartende Wachstum im Markt der
Informationssicherheit höher sein wird
als im Marktdurchschnitt bei Software,
Hardware und IT-Dienstleistungen.
Quelle: Gartner, „Key Issues for Technology. Providers: Security Markets, 2011“, Februar 2011
Smartphones 31 %
Deutlicher Anstieg des weltweiten
Marktes für IT Security Services
Umsatzentwicklung plus 30 % in den kommenden fünf Jahren.
Umsatz (Mio. €)
Wachstum (%)
2008
2009
2010
PC-Arbeitsplätze 20 %
2011
Quelle: IDC-Studie „IT Security in Deutschland“, 2011; © IDC, 2011; n = 202
2012
6,4
48 666
49 764
51 933
54 973
58 313
2,2
4,3
5,8
5,1
Netzwerk 13 %
2013
Wechselmedien 12 %
Tablet-PCs 10 %
Produktionsanlagen 1%
Rechenzentrum 4 %
Policies und Richtlinen 3 %
Drucker 1%
2014
2015
Links:
62 232
6,7
66 368
6,6
70 952
6,9
www.bka.de
www.idc.de
www.frost.com
www.gartner.de
www.ifd-allensbach.de
Quelle: Frost and Sullivan, „World Security Services Market“, Februar 2011
Laptops 21 %
46
erfahren
KOLUMNE
VORSICHT VOR FLECKFIEBER!
I mmer mehr Firmen wechseln heute bei Druckern und Kopierern vom Kaufvertrag zum Mietvertrag. Das spart neben Geld
auch Aufwand bei der Wartung. Der Vermieter kümmert sich
darum, dass immer Toner im Gerät ist, und wenn es mal eine
Störung gibt, dann ruft das Gerät den Drucker-Notarzt gleich
automatisch. Sinnvollerweise wird in ein zentrales Multifunktionsgerät pro Stockwerk investiert, denn so verschwinden nach und nach die Druckmaschinen aus den Büros der
Mitarbeiter.
Das ist gesundheitsfördernd, weil die giftigen Tonerpartikel nicht mehr durch den Raum fliegen und selbst die lethargischsten Kollegen auch mal zwischen dem Ein- und Ausstempeln aufstehen müssen – sofern sie etwas drucken. Zwar
haben Sie nun gesündere Mitarbeiter, dafür leidet die Druckmaschine latent an einer heimtückischen Krankheit. Sie hat so
etwas wie Fleckfieber! Den entsprechenden „Bazillus“ trägt
jede Druckmaschine quasi ab Werk schon mit sich. Und die
fatalen Folgen, die die buchstäbliche Weiterverbreitung des
Fleckfiebers für Unternehmen gegebenenfalls hätte, können
blitzschnell zur Seuche werden.
Bei jedem Ausdruck erzeugen Farblaser ein wiederkehrendes Muster aus winzig kleinen und sehr hellgelben Pünktchen. Diese werden Tracking Dots genannt und sind über das
ganze Blatt verstreut. Dass das nicht auffällt, liegt an der Farbe.
Bei dem Licht, das wir verwenden, ist das helle Gelb nicht zu
sehen, und die Größe von etwa dem Zehntel eines i-Punktes
tut ihr Übriges. Nur mit Lupe und unter blauem Licht sind die
Pusteln zu erkennen.
Die Anordnung der Punkte verrät etwas über das Blatt, nämlich
Datum und Uhrzeit des Druckvorgangs. Und weil das noch
nicht genug ist, gibt es die Seriennummer des Druckers gleich
FAKTEN
Tobias Schrödel (40)
Der Delivery Solution Manager bei
T-Systems ist Autor des Buches
„Hacking für Manager“ – auf der
Frankfurter Buchmesse 2011
ausgezeichnet als „Wirtschaftsbuch des
Jahres“ mit dem getAbstract
International Book Award.
dazu. So sind Drucke und Kopien nicht nur einem Zeitpunkt
zuzuordnen, sondern im Zweifel auch einer Person. Wer mit
Aktienrecht zu kämpfen hat, der weiß, dass das auch mal
schnell zu einem Aufhebungsvertrag führen kann.
Eine Art Aufhebungsvertrag hat die Printmaschine übrigens auch, allerdings in Form einer Festplatte. Alles, was zu Papier gebracht wird, wird digital verarbeitet, zwischengespeichert und aufgehoben. Je nach Größe des Speichermediums
findet sich darauf die komplette Sammlung von Angeboten,
Verträgen, E-Mails, Kündigungen und Abmahnungen, einfach
alles, was Ihre Mitarbeiter mit Firmentoner auf Firmenpapier gebrannt haben.
Läuft die Leasingzeit ab, wird das Gerät getauscht, und mit
ihm verschwindet auch die Festplatte. Sie können nur darauf
vertrauen, dass Ihr Lieferant diese durch mehrfaches Überschreiben sauber löscht, bevor das Gebrauchtgerät einen neuen Besitzer findet.
Besser noch, Sie lassen sich den Speicher gleich vor Ort
ausbauen und aushändigen – das geht für eine Handvoll Euro.
Dann sind Ihre Daten sicher. Wer sensible Unternehmensdaten
über die gesamte Dienstzeit seiner Druckmaschinen schützen
muss, sollte noch vorsichtiger sein. Schon bei jeder Wartung
des Geräts laufen Unternehmen Gefahr, dass ein korrupter Servicetechniker die prall gefüllte Festplatte gezielt per Auftrag austauscht und „versilbert“. Für eine Handvoll Dollar oder – viel
wahrscheinlicher – Rubel oder Renminbi Yuan.
TOBIAS SCHRÖDEL
Links:
www.tobiasschroedel.com
www.t-systems.de/video/datenbodyguards
Fotos: iStockphoto.com, T-Systems, PR
„Tracking Dots“, versteckte Markierungen auf Ausdrucken und Kopien,
sind latente Verräter wichtiger Daten. Das größte Problem dabei:
Nur die wenigsten Anwender wissen, welche reale Gefahr von den Druckern
und Kopierern in ihren Büros ausgeht.
Nähe ist die
beste Medizin
W IR HELFEN HEILEN
Die McDonald’s Kinderhilfe Stiftung unterstützt seit 1987 schwer kranke
Kinder, die weit weg von daheim im Krankenhaus behandelt werden: Wir
bieten ihren Familien ein Zuhause auf Zeit direkt neben der Klinik – und stellen
so eine Nähe zu Eltern und Geschwistern her, die den Kleinen hilft, schneller
gesund zu werden. Nähe – eine Medizin, die kein Arzt verschreiben kann.
www.mcdonalds-kinderhilfe.org

Best Practice - T-Systems: Wie Unternehmen zuverläs‌sig ihre ICT

Transcription

Documents pareils

Ausgabe 13.12.2013

abKÜrZung Zum globalen rollout mes manufacturing template

D - Konformitätszertifizierung durch T

Einladung Innoforum_akt

Ihr Weg zu einer gepflegten Applikations- landschaft - T

Vorsprung auf dem internationalen Baustoffmarkt für Xella.

Smart Metering für Stadtwerke Emden. - T

Einladung Innovationsforum Software Saxony 20.04.2007

(BA) erteilt Großauftrag an T-Systems, Compuware und